Écrit par Leah Tolton KC, FEA
À une époque où les menaces numériques sont plus sophistiquées que jamais, la cybersécurité est devenue une préoccupation pressante pour les entreprises familiales. Ces entreprises, qui sont des cibles attrayantes pour les cyberattaques, doivent trouver un équilibre entre les objectifs essentiels de protection et le maintien de l’efficacité opérationnelle.
J’ai récemment reçu ma collègue Suzie Suliman de Bennett Jones comme invitée au balado Beyond Succession. Suzie, qui est avocate de société, spécialisée en propriété intellectuelle, aide les clients du cabinet à protéger leurs actifs technologiques. Elle rédige et négocie régulièrement des ententes commerciales liées à la cybersécurité. Voici quelques points forts de notre discussion.
Une entreprise familiale comporte beaucoup d’éléments et de pièces mobiles. Quel est le paysage de cybersécurité de ces entreprises et quelles sont les principales menaces qui les guettent?
Les cybermenaces se multiplient, particulièrement dans les environnements infonuagiques où résident des données critiques. Les rançongiciels sont les plus courants, souvent associés au vol de données, ce qui aboutit à une double extorsion. Le piratage psychologique et l’hameçonnage s’intensifient également, appuyés par l’intelligence artificielle (IA). Des courtiers d’accès vendent désormais les vulnérabilités des systèmes sur le marché noir et permettent ainsi des attaques plus ciblées et plus spécialisées.
Pourquoi les entreprises et bureaux familiaux sont-ils des cibles particulièrement intéressantes pour les cyberpirates?
Les entreprises familiales sont des réseaux interconnectés d’entreprises et de personnes qui offrent de multiples points d’entrée aux auteurs de menaces. Les données personnelles accessibles au public facilitent un piratage psychologique réaliste. Jusqu’à maintenant, ces organisations ont surtout privilégié l’efficacité au détriment de la cybersécurité, ce qui les rend attrayantes pour les pirates à la recherche de cibles qui présentent une valeur intéressante tout en étant relativement peu protégées.
Le fait d’accorder plus d’importance à l’efficacité qu’à la cybersécurité est sans doute l’une des faiblesses les plus courantes que vous observez dans les pratiques de cybersécurité; constatez-vous d’autres lacunes?
Oui, de nombreuses organisations donnent la priorité à l’efficacité plutôt qu’à la sécurité, considérant souvent cette dernière comme un fardeau. Parmi les autres lacunes, j’ai noté le manque de formation continue chez les utilisateurs et la méconnaissance des menaces émergentes. Les risques liés aux tiers augmentent également, car les fournisseurs peuvent introduire des vulnérabilités, c’est pourquoi les contrats et les processus d’intégration doivent comprendre des mesures de sécurité informatique et des dispositions de diligence raisonnable.
Y a-t-il autre chose que les entreprises peuvent faire pour atténuer les facteurs humains et les vulnérabilités?
La formation est essentielle. Les entreprises familiales devraient renforcer leurs connaissances par des formations à la cybersécurité spécifiques à chaque rôle et des simulations d’hameçonnage. Elles peuvent également lier l’hygiène informatique à l’évaluation du rendement et à la rémunération, appliquer des politiques de mots de passe forts, se doter de directives sur l’utilisation des appareils et limiter l’accès aux données. Ces mesures contribuent à réduire la probabilité que des erreurs humaines entraînent des intrusions.
Passons aux conséquences juridiques. Quelles sont les principales risques auxquelles les entreprises familiales sont confrontées en cas de cyberattaque?
Les entreprises familiales sont confrontées à des pertes financières qu’entraîne paiement de rançons, à la fraude, à des coûts de récupération et à l’interruption de leurs activités. Les violations de données commerciales ou personnelles sensibles peuvent nuire à la réputation, donner lieu à des enquêtes réglementaires, exiger des notifications de violation de données et même mener à des recours collectifs. La perte de propriété intellectuelle menace également l’avantage concurrentiel à long terme d’une entreprise.
Vous avez mentionné plus tôt dans notre conversation l’importance de s’assurer que les contrats avec les sous-traitants comprennent des mesures de protection informatique. Comment négociez-vous cela? Est-ce devenu une norme dans l’industrie?
Les clauses de protection des données ne sont pas obligatoires partout au Canada, surtout en dehors du Québec, mais elles constituent une pratique d’excellence. Les contrats devraient exiger le respect des lois sur la protection de la vie privée, la déclaration des incidents et des mesures de sécurité; inclure des indemnités, des assurances et les limitations de responsabilité. Les entreprises devraient également revoir les contrats existants, afin de s’assurer du respect de leurs normes par les fournisseurs et du partage de la responsabilité en cas d’intrusion.
Existe-t-il d’autres exemples de stratégies qu’une entreprise familiale pourrait adopter pour améliorer sa cybersécurité?
Se concentrer sur la détermination et la protection de leurs propres « joyaux de la couronne », leurs données les plus sensibles. Adapter la sécurité en fonction de la sensibilité des données. Établir des politiques solides pour les mots de passe, les sauvegardes et l’intervention en cas d’incidents. Se doter de lignes directrices claires pour le travail à distance, l’utilisation des appareils et l’intelligence artificielle. Des politiques solides, adaptées aux niveaux de risque, sont la clé de la résilience.
Supposons que le pire se produise et qu’une entreprise soit victime d’un incident. Décrivez-moi ce qu’est un plan d’intervention en cas d’incident et la façon dont il pourrait répondre à ce type de scénario.
Un plan d’intervention en cas d’incident décrit la façon de gérer les différents types d’incidents informatiques. Il définit les niveaux d’escalade, les rôles et les protocoles de communication. Il comprend des contacts comme les assureurs et les experts judiciaires. L’objectif est de réagir rapidement, de minimiser les dommages et de respecter les obligations légales. On doit toujours garder une copie physique du plan à portée de la main au cas où les systèmes seraient compromis.
Quelles sont les premières questions qu’une entreprise familiale doit se poser lorsqu’elle décide d’améliorer sa sécurité informatique? Par où commencer?
Elle devrait commencer par une évaluation des risques et se poser les questions suivantes : Quelles sont nos données les plus critiques? Quelles sont nos plus grandes menaces? Respectons-nous les lois sur la protection de la vie privée? Sommes-nous à l’affût des menaces? De quels outils d’atténuation (comme une assurance ou les mesures de protection des fournisseurs) disposons-nous? Puis, elles devraient examiner les incidents passés afin d’en tirer des leçons et d’améliorer leur approche à l’avenir.
Comment la nouvelle génération peut-elle jouer un rôle dans la sensibilisation à la cybersécurité au sein des entreprises familiales?
La nouvelle génération peut promouvoir la cybersécurité en tirant parti de sa connaissance approfondie de l’entreprise et de son aisance avec la technologie. Elle peut encourager l’investissement dans un budget informatique et l’établissement d’une politique solide et favoriser une culture de la sécurité. Son leadership permet de faire en sorte que la cybersécurité devienne une priorité stratégique, plutôt que seulement technique.
Quels sont les autres défis émergents auxquels les entreprises familiales devraient à se préparer dès maintenant?
L’IA accélère la sophistication des menaces et permet des attaques plus rapides et plus convaincantes. Les courtiers en accès sont de plus en plus actifs et vendent des vulnérabilités à des acteurs malveillants. Parallèlement, les risques pour la réputation sont amplifiés par l’exposition instantanée en ligne. Les entreprises familiales doivent gérer leur présence numérique avec soin et garder une longueur d’avance en intégrant la cybersécurité dans tous les aspects de leur stratégie commerciale.
L’épisode complet du balado Beyond Succession sur la cybersécurité et les entreprises familiales est accessible ici. Si vous souhaitez discuter de la manière dont les entreprises familiales peuvent se protéger des cyberattaques tout en maintenant leur efficacité opérationnelle, veuillez communiquer avec Leah Tolton.
Traduction alimentée par l’IA.
Veuillez noter que cette publication présente un aperçu des tendances juridiques notables et des mises à jour connexes. Elle est fournie à titre informatif seulement et ne saurait remplacer un conseil juridique personnalisé. Si vous avez besoin de conseils adaptés à votre propre situation, veuillez communiquer avec l’un des auteurs pour savoir comment nous pouvons vous aider à gérer vos besoins juridiques.
Pour obtenir l’autorisation de republier la présente publication ou toute autre publication, veuillez communiquer avec Amrita Kochhar à kochhara@bennettjones.com.