Écrit par Leah Tolton KC, FEA
À une époque où les menaces numériques sont plus sophistiquées que jamais, la cybersécurité est devenue une préoccupation urgente pour les entreprises familiales. Ces entreprises sont des cibles attrayantes pour les cyberattaques et doivent trouver un équilibre entre les objectifs essentiels de se protéger tout en maintenant l’efficacité opérationnelle.
Mon collègue de Bennett Jones, Suzie Suliman, m’a récemment rejoint en tant qu’invitée sur le Balado Beyond Succession. Suzie est avocate en droit des sociétés et en propriété intellectuelle et aide les clients du cabinet à protéger leurs actifs technologiques. Elle rédige et négocie régulièrement des ententes commerciales en matière de cybersécurité. Voilà quelques-uns des points saillants de notre discussion.
Il y a beaucoup de pièces mobiles dans une entreprise familiale. Quel est l’état du paysage de la cybersécurité et quelles sont les principales menaces dont les entreprises devraient être conscientes?
Les cybermenaces augmentent, en particulier dans les environnements infonuagiques où résident des données critiques. Les rançongiciels sont les plus courants, souvent associés au vol de données à des fins de double extorsion. L’ingénierie sociale et l’hameçonnage s’intensifient également, aidés par l’intelligence artificielle (IA). Les courtiers d’accès vendent maintenant des vulnérabilités du système sur le marché noir, ce qui rend les attaques plus ciblées et plus sophistiquées.
Pourquoi les entreprises familiales et les family offices sont-ils des cibles particulièrement attrayantes pour les cyberattaques?
Les entreprises familiales sont des réseaux interconnectés d’entreprises et d’individus, offrant de multiples points d’entrée aux auteurs de menaces. Les données personnelles accessibles au public facilitent l’ingénierie sociale réaliste. Historiquement, ces organisations privilégient l’efficacité à la cybersécurité, ce qui les rend attrayantes pour les attaquants à la recherche de cibles précieuses mais relativement non protégées.
Est-ce que la priorité accordée à l’efficacité plutôt qu’à la cybersécurité est l’une des lacunes les plus courantes que vous voyez dans les pratiques de cybersécurité, ou y a-t-il d’autres lacunes que vous voyez?
Oui, de nombreuses organisations privilégient l’efficacité à la sécurité, considérant souvent la cybersécurité comme un fardeau. Parmi les autres lacunes, mentionnons le manque de formation continue des utilisateurs et la faible sensibilisation aux menaces émergentes. Les risques liés aux tiers augmentent également : les fournisseurs peuvent introduire des vulnérabilités, de sorte que les contrats et les processus d’intégration doivent inclure des mesures de protection de la cybersécurité et une diligence raisonnable.
Y a-t-il d’autres choses que les entreprises peuvent faire pour atténuer les facteurs humains et les vulnérabilités?
La formation est essentielle. Les entreprises familiales devraient renforcer leur sensibilisation à la cybersécurité grâce à des formations régulières sur des rôles spécifiques et à des simulations d’hameçonnage. Ils peuvent également lier la cyberhygiène aux évaluations de rendement et à la rémunération, tout en appliquant des politiques de mots de passe forts, des directives d’utilisation des appareils et un accès limité aux données. Ces mesures aident à réduire la probabilité d’erreurs humaines entraînant des atteintes.
Passons aux conséquences juridiques de cette situation, quelles sont les principales responsabilités auxquelles les entreprises familiales sont confrontées si elles subissent une cyberattaque?
Les entreprises familiales font face à des pertes financières dues au paiement de rançons, à la fraude, aux coûts de recouvrement et à l’interruption des activités. Les atteintes à des données commerciales ou personnelles sensibles peuvent entraîner des dommages à la réputation, des enquêtes réglementaires, des avis de violation obligatoires et même des recours collectifs. La perte de propriété intellectuelle menace également l’avantage concurrentiel à long terme d’une entreprise.
Vous avez mentionné plus tôt dans notre conversation l’importance de s’assurer que les contrats avec les sous-traitants incluent une cyberprotection. Comment négociez-vous cela? Est-ce une norme de l’industrie maintenant?
Bien qu’elles ne soient pas universellement obligatoires au Canada, en particulier à l’extérieur du Québec, des clauses de protection des données strictes sont une pratique exemplaire. Les contrats doivent être conformes aux lois sur la protection des renseignements personnels, au signalement des incidents et aux mesures de sécurité. Inclure les indemnités, les assurances et les limitations de responsabilité. Les entreprises devraient également examiner les ententes existantes, en s’assurant que les fournisseurs respectent leurs normes et partagent la responsabilité en cas de violation.
Y a-t-il d’autres exemples de stratégies qu’une entreprise familiale pourrait adopter pour améliorer sa cybersécurité?
Concentrez-vous sur l’identification et la protection de vos « joyaux de la couronne », les données les plus sensibles. Adaptez la sécurité en fonction de la sensibilité des données. Établissez des politiques solides pour les mots de passe, les sauvegardes et la réponse aux incidents. Abordez le travail à distance, l’utilisation des appareils et l’IA avec des directives claires. Des politiques solides alignées sur les niveaux de risque sont essentielles à la résilience.
Supposons que le pire se produise et qu’une entreprise a un incident. Décrivez-moi ce qu’est un plan d’intervention en cas d’incident et comment il pourrait réagir à ce genre de scénario.
Un plan d’intervention en cas d’incident décrit comment gérer différents types de cyberincidents. Il définit les niveaux d’escalade, les rôles et les protocoles de communication. Il comprend des contacts comme des assureurs et des experts judiciaires. L’objectif est de réagir rapidement, de minimiser les dommages et de respecter les obligations légales. Gardez toujours une copie physique du plan à portée de main au cas où les systèmes seraient compromis.
Quelles sont les premières questions qu’une entreprise familiale devrait se poser lorsqu’elle décide de mettre à niveau sa cybersécurité? Par où commencer?
Commencez par une évaluation des risques. Ils devraient se demander : quels sont nos actifs de données les plus critiques? Quelles sont nos plus grandes menaces? Respectons-nous les lois sur la protection de la vie privée? Surveillons-nous les menaces? Quels sont les outils d’atténuation, comme les assurances ou les mesures de protection des fournisseurs? Passez en revue les incidents passés pour apprendre et améliorer votre approche à l’avenir.
Comment la prochaine génération peut-elle jouer un rôle dans l’avancement de la cybersécurité au sein de son entreprise familiale?
La prochaine génération peut se faire la championne de la cybersécurité en tirant parti de sa connaissance approfondie de l’entreprise et de son aisance avec la technologie. Ils peuvent stimuler l’investissement dans les cyberbudgets, promouvoir des politiques solides et favoriser une culture de sécurité. Leur leadership contribue à faire en sorte que la cybersécurité devienne une priorité stratégique, et pas seulement technique.
À quels autres défis émergents les entreprises familiales devraient-elles commencer à se préparer dès maintenant?
L’IA accélère la sophistication des menaces et permet des attaques plus rapides et plus convaincantes. Les courtiers d’accès sont de plus en plus actifs, vendant des vulnérabilités à des acteurs malveillants. Pendant ce temps, les risques pour la réputation sont amplifiés par une exposition instantanée en ligne. Les entreprises familiales doivent gérer leur présence numérique avec soin et garder une longueur d’avance en intégrant la cybersécurité dans tous les aspects de la stratégie d’affaires.
L’épisode complet du balado Beyond Succession sur la cybersécurité et les entreprises familiales est disponible ici. Si vous souhaitez discuter de la façon dont les entreprises familiales peuvent se protéger contre les cyberattaques tout en maintenant l’efficacité opérationnelle, veuillez communiquer avec Leah Tolton.
Traduction alimentée par l’IA.
Veuillez noter que cette publication présente un aperçu des tendances juridiques notables et des mises à jour connexes. Elle est fournie à titre informatif seulement et ne saurait remplacer un conseil juridique personnalisé. Si vous avez besoin de conseils adaptés à votre propre situation, veuillez communiquer avec l’un des auteurs pour savoir comment nous pouvons vous aider à gérer vos besoins juridiques.
Pour obtenir l’autorisation de republier la présente publication ou toute autre publication, veuillez communiquer avec Amrita Kochhar à kochhara@bennettjones.com.
Bennett Jones