À une époque où les menaces numériques sont plus sophistiquées que jamais, la cybersécurité est devenue une préoccupation pressante pour les entreprises familiales. Ces entreprises, qui sont des cibles attrayantes pour les cyberattaques, doivent trouver un équilibre entre les objectifs essentiels de protection et le maintien de l’efficacité opérationnelle.
J’ai récemment reçu ma collègue Suzie Suliman de Bennett Jones comme invitée au balado Beyond Succession. Suzie, qui est avocate de société, spécialisée en propriété intellectuelle, aide les clients du cabinet à protéger leurs actifs technologiques. Elle rédige et négocie régulièrement des ententes commerciales liées à la cybersécurité. Voici quelques points forts de notre discussion.
Les cybermenaces se multiplient, particulièrement dans les environnements infonuagiques où résident des données critiques. Les rançongiciels sont les plus courants, souvent associés au vol de données, ce qui aboutit à une double extorsion. Le piratage psychologique et l’hameçonnage s’intensifient également, appuyés par l’intelligence artificielle (IA). Des courtiers d’accès vendent désormais les vulnérabilités des systèmes sur le marché noir et permettent ainsi des attaques plus ciblées et plus spécialisées.
Les entreprises familiales sont des réseaux interconnectés d’entreprises et de personnes qui offrent de multiples points d’entrée aux auteurs de menaces. Les données personnelles accessibles au public facilitent un piratage psychologique réaliste. Jusqu’à maintenant, ces organisations ont surtout privilégié l’efficacité au détriment de la cybersécurité, ce qui les rend attrayantes pour les pirates à la recherche de cibles qui présentent une valeur intéressante tout en étant relativement peu protégées.
Oui, de nombreuses organisations donnent la priorité à l’efficacité plutôt qu’à la sécurité, considérant souvent cette dernière comme un fardeau. Parmi les autres lacunes, j’ai noté le manque de formation continue chez les utilisateurs et la méconnaissance des menaces émergentes. Les risques liés aux tiers augmentent également, car les fournisseurs peuvent introduire des vulnérabilités, c’est pourquoi les contrats et les processus d’intégration doivent comprendre des mesures de sécurité informatique et des dispositions de diligence raisonnable.
La formation est essentielle. Les entreprises familiales devraient renforcer leurs connaissances par des formations à la cybersécurité spécifiques à chaque rôle et des simulations d’hameçonnage. Elles peuvent également lier l’hygiène informatique à l’évaluation du rendement et à la rémunération, appliquer des politiques de mots de passe forts, se doter de directives sur l’utilisation des appareils et limiter l’accès aux données. Ces mesures contribuent à réduire la probabilité que des erreurs humaines entraînent des intrusions.
Les entreprises familiales sont confrontées à des pertes financières qu’entraîne paiement de rançons, à la fraude, à des coûts de récupération et à l’interruption de leurs activités. Les violations de données commerciales ou personnelles sensibles peuvent nuire à la réputation, donner lieu à des enquêtes réglementaires, exiger des notifications de violation de données et même mener à des recours collectifs. La perte de propriété intellectuelle menace également l’avantage concurrentiel à long terme d’une entreprise.
Les clauses de protection des données ne sont pas obligatoires partout au Canada, surtout en dehors du Québec, mais elles constituent une pratique d’excellence. Les contrats devraient exiger le respect des lois sur la protection de la vie privée, la déclaration des incidents et des mesures de sécurité; inclure des indemnités, des assurances et les limitations de responsabilité. Les entreprises devraient également revoir les contrats existants, afin de s’assurer du respect de leurs normes par les fournisseurs et du partage de la responsabilité en cas d’intrusion.
Se concentrer sur la détermination et la protection de leurs propres « joyaux de la couronne », leurs données les plus sensibles. Adapter la sécurité en fonction de la sensibilité des données. Établir des politiques solides pour les mots de passe, les sauvegardes et l’intervention en cas d’incidents. Se doter de lignes directrices claires pour le travail à distance, l’utilisation des appareils et l’intelligence artificielle. Des politiques solides, adaptées aux niveaux de risque, sont la clé de la résilience.
Un plan d’intervention en cas d’incident décrit la façon de gérer les différents types d’incidents informatiques. Il définit les niveaux d’escalade, les rôles et les protocoles de communication. Il comprend des contacts comme les assureurs et les experts judiciaires. L’objectif est de réagir rapidement, de minimiser les dommages et de respecter les obligations légales. On doit toujours garder une copie physique du plan à portée de la main au cas où les systèmes seraient compromis.
Elle devrait commencer par une évaluation des risques et se poser les questions suivantes : Quelles sont nos données les plus critiques? Quelles sont nos plus grandes menaces? Respectons-nous les lois sur la protection de la vie privée? Sommes-nous à l’affût des menaces? De quels outils d’atténuation (comme une assurance ou les mesures de protection des fournisseurs) disposons-nous? Puis, elles devraient examiner les incidents passés afin d’en tirer des leçons et d’améliorer leur approche à l’avenir.
La nouvelle génération peut promouvoir la cybersécurité en tirant parti de sa connaissance approfondie de l’entreprise et de son aisance avec la technologie. Elle peut encourager l’investissement dans un budget informatique et l’établissement d’une politique solide et favoriser une culture de la sécurité. Son leadership permet de faire en sorte que la cybersécurité devienne une priorité stratégique, plutôt que seulement technique.
L’IA accélère la sophistication des menaces et permet des attaques plus rapides et plus convaincantes. Les courtiers en accès sont de plus en plus actifs et vendent des vulnérabilités à des acteurs malveillants. Parallèlement, les risques pour la réputation sont amplifiés par l’exposition instantanée en ligne. Les entreprises familiales doivent gérer leur présence numérique avec soin et garder une longueur d’avance en intégrant la cybersécurité dans tous les aspects de leur stratégie commerciale.
L’épisode complet du balado Beyond Succession sur la cybersécurité et les entreprises familiales est accessible ici. Si vous souhaitez discuter de la manière dont les entreprises familiales peuvent se protéger des cyberattaques tout en maintenant leur efficacité opérationnelle, veuillez communiquer avec Leah Tolton.