Télécharger le PDF
Ce que les entreprises et les conseils d’administration doivent savoir
En 2016, la cybersécurité a continué de croître en tant que principal risque commercial pour les entreprises du monde entier. Les atteintes à la protection des données ont continué d’augmenter en nombre et en ampleur, et le paysage de la responsabilité juridique et réglementaire a évolué et s’est élargi. Dans ce rapport, l’équipe de cybersécurité de Bennett Jones analyse les événements clés de 2016 en vue des questions qui devraient être à l’avant-plan pour les entreprises et leurs administrateurs en 2017.
Dans ce guide
- Qu’est-ce qu’un cyber-événement ou un événement de cyber-violation
- Gouvernance de la sécurité : le rôle du conseil d’administration
- Déveloper les tendances de la réglementation de la cybersécurité au Canada
- Cybersecurity in Law Firms and Other Suppliers
- L’importance de la couverture de cyberassurance
- Expanding Scope of Invasion of Privacy Claims
- Avis d’atteinte obligatoire national arrive au Canada
- Cybersecurity Class Actions: The Next Big Thing?
- Lessons de la décision Ashley Madison dans le contexte de la cybersécurité
- Exposition internationale des attaques de cybersécurité: l’histoire de mise en garde de Yahoo! Inc.
- Ransom Attacks and the Bitcoin World
 ou déni de service local (LDoS);</li>
<li>dégradation du Web;</li>
<li>les dommages physiques ou infrastructurels (dispositifs de contrôle endommagés, <em>p. ex.</em>, Stuxnet);</li>
<li>le vol de secrets commerciaux, de propriété intellectuelle, de renseignements d’initiés; et</li>
<li>perte d’intégrité des données. </li>
</ul>
<p>Les cybercrimes sont souvent commis comme un moyen d’atteindre une autre fin, généralement pour gagner de l’argent (vol d’informations d’initiés dans des cabinets d’avocats de Wall Street, à l’aide de stratagèmes de délits d’initiés criminels; vol d’identité pour compromettre les systèmes, ou pour perpétrer d’autres fraudes commerciales telles que la fraude bancaire et de crédit).</p>
<p>En 2016, nous avons été les victimes de cyberincidents non commerciaux, tels que le « doxing », la publication d’informations privées sur Internet (<em>par exemple</em>, le vol et la divulgation d’informations des Panama Papers, le vol et la divulgation d’informations du système de messagerie du Comité national démocrate, et les attaques de cyberguerre par les gouvernements nationaux pendant les conflits régionaux en Estonie, en Crimée, en Ukraine, en Syrie, en Égypte et en Irak). </p>
<h4>Leçons apprises</h4>
<p>
Les cyberattaques de 2016 ont élargi notre compréhension de la cybersécurité :</p>
<ul>
<li>La cybercriminalité devient multi-fronts et n’est plus un simple événement de violation ou de vol.</li>
<li>Les auteurs de menaces à la cybersécurité deviennent beaucoup plus sophistiqués. Les cyberattaques ne sont plus réservées aux passionnés d’informatique de placard ou au mouvement Anonymous. Les éléments du crime organisé ont adopté des éléments des systèmes de réseaux de TI et de la collaboration sociale et des médias (<em>p. ex.</em> présence sur le Web sombre et méthodes commerciales sophistiquées, ciblage, outils et marchés noirs pour les outils, renseignements volés).</li>
<li>La cybercriminalité est en cours d’industrialisation et d’expansion à l’échelle des réseaux sociaux.</li>
<li>Les objectifs varient; alors que les informations sur les cartes de crédit restent attrayantes, de nouveaux accents sur les soins de santé, les cabinets d’avocats et les gouvernements sont apparus, avec des stratagèmes tels que les ransomwares et l’extorsion devenant courants.</li>
<li>Les cyberincidents peuvent être le premier événement d’une chaîne d’activités criminelles d’une certaine sophistication.</li>
<li>Les modèles analytiques non sophistiqués ne sont plus utiles pour lutter contre la prévention ou la réponse aux cyberincidents.</li>
<li>Il n’y a pas d’activité plus fructueuse pour éviter les risques de cybersécurité que la préparation.</li>
</ul>
<h4>Prochaines étapes</h4>
<p>Pour lutter contre la cybercriminalité, vous devrez :</p>
<ul>
<li>comprendre quelles informations et quels systèmes votre organisation contrôle, et s’ils sont des cibles précieuses;</li>
<li>comprendre ce qui peut être fait pour renforcer vos systèmes pour être une cible moins tentante;</li>
<li>se préparer à un cyberincident apparemment inévitable en comprenant ce qui pourrait arriver, en prévoyant une détection et une intervention précoces et en planifiant des mesures d’atténuation (comme un plan d’intervention en cas d’incident, une couverture d’assurance, un état de préparation à l’intervention);</li>
<li>faire connaître les ressources locales (organismes d’application de la loi, consultants en intervention informatique, systèmes de secours, conseillers juridiques externes); et</li>
<li>pensez à vos informations et à vos systèmes.</li>
</ul>
<p>La formation de vos employés sur les risques et l’évitement des risques est l’une des étapes les plus importantes. Vos employés sont vos meilleurs « agents de renseignement » à faire appel pour protéger vos renseignements et vos systèmes.</p>
<p>Bennett Jones a réuni une équipe avec les compétences, l’expérience, l’expertise et les connexions capables d’aider à la préparation à la cybersécurité et à la réponse et à l’atténuation des incidents en cas de cyber-événement. Un conseiller juridique externe est un élément important de votre planification pour faire face à ce type de problèmes. </p>
<un nom=)
 a mis en évidence une exposition potentielle pour les administrateurs, s’ils ne prennent pas de mesures raisonnables pour éviter et répondre à une attaque. Le rapport conjoint des commissaires à la protection de la vie privée du Canada et de l’Australie sur l’atteinte à la vie privée d’Ashley Madison n’indique pas expressément l’exposition des administrateurs de la société; toutefois, le rapport souligne que les normes attendues des entreprises relèvent de la responsabilité du conseil d’administration. </p>
<p>Le rôle du conseil d’administration en matière d’infrastructure informatique n’est pas différent de son rôle dans la gestion d’autres risques dans l’entreprise. Le rôle du conseil d’administration en est un de surveillance. Les administrateurs n’ont pas besoin d’être ou de devenir des experts en cybersécurité ou en informatique. Le conseil d’administration peut compter sur la direction pour concevoir et mettre en œuvre l’infrastructure de TI; mais le conseil d’administration devrait poser suffisamment de questions pour être convaincu que les bonnes questions sont examinées et traitées. Le défaut du conseil d’administration de prendre les mesures appropriées en matière de cybersécurité peut exposer les administrateurs à une responsabilité.</p>
<p>Par conséquent, les administrateurs doivent avoir une compréhension de base de l’infrastructure informatique de la société afin de pouvoir identifier les risques auxquels la société est confrontée et évaluer si ces risques sont traités. </p>
<h4>Évaluation des risques</h4>
<p>Le premier enjeu pour un administrateur est d’examiner la nature et l’étendue de la dépendance de l’entreprise à l’égard de son infrastructure de TI. Un conseil d’administration doit avoir une compréhension raisonnable de la façon dont l’entreprise acquiert, utilise et dépend de son infrastructure informatique dans le cours normal de ses activités. Sur la base de cette compréhension, la question suivante est l’impact que tout degré de défaillance de l’infrastructure informatique peut avoir sur l’entreprise. Les trois principaux risques potentiels pour la cybersécurité de l’entreprise peuvent être classés comme suit : </p>
<ol>
<li>Risque opérationnel de l’entreprise : interruptions des activités commerciales de l’entreprise.</li>
<li>Risque de responsabilité : par exemple, les recours collectifs de personnes dont les renseignements ont été compromis; le risque de non-conformité réglementaire (y compris les commissaires à la protection de la vie privée et les régimes de réglementation des valeurs mobilières et des institutions financières, qui prévoient des exigences pour la gestion et la déclaration des atteintes à la sécurité importantes et des vulnérabilités).</li>
<li>Risque d’atteinte à la réputation : atteinte à la réputation de l’entreprise.</li>
</ol>
<h4>Conclusion</h4>
<p>La technologie est un aspect fondamental de la valeur et du risque pour l’entreprise. Les questions en jeu vont bien au-delà des questions technologiques pour se poser des questions fondamentales de gouvernance et de gestion des risques. </p>
<un nom=)
 a été un défi pour les entreprises, car il s’agit d’un domaine de croissance et de changement continus. Il est essentiel pour les entreprises de se tenir au courant des développements réglementaires afin de comprendre leurs responsabilités croissantes dans ce domaine.</p>
<p>Historiquement, les menaces à la cybersécurité ont été traitées par les gouvernements dans le cadre d’un processus fragmentaire par l’adoption de diverses lois et de divers règlements exigeant la protection de certaines catégories de données (comme les renseignements financiers, médicaux ou personnels), la protection de certaines industries clés (comme les infrastructures essentielles ou les services bancaires) et la criminalisation de certaines activités (comme l’article 19 <em>de la Loi sur la protection de l’information </em>(Canada) (espionnage économique) et <em>le Code criminel</em> (Canada) paragraphes 342(3) (utilisation non autorisée de données de carte de crédit), 342.1 (utilisation non autorisée d’un ordinateur), 380 (fraude) et 402.2 (vol d’identité et fraude d’identité)). </p>
<p>Par conséquent, une mosaïque complexe et fragmentée de lois et de pratiques de l’industrie a évolué, qui s’est généralement concentrée sur des données particulièrement sensibles ou des actifs « à risque ». </p>
<p>S’attaquer aux cybermenaces de plus en plus sophistiquées et en évolution qui deviennent de plus en plus évidentes pose maintenant un défi de taille aux organismes de réglementation et aux organisations, et nous avons récemment reconnu un certain nombre de tendances qui se développent dans l’approche réglementaire à l’égard des cybermenaces. En particulier, on met de plus en plus l’accent sur : (i) la divulgation d’incidents de cybersécurité; et ii) l’harmonisation de la réglementation.</p>
<p>Pour contrebalancer la réticence des organisations à divulguer les cyberincidents pour aider à répondre à un besoin perçu de renseignements opportuns et pertinents pour permettre aux organismes d’application de la loi de réagir aux cybermenaces, l’accent a été mis sur les divulgations de cyberincidents par les victimes. Par exemple, l’adoption provisoire de la déclaration obligatoire des atteintes à la vie privée a vu le jour dans un certain nombre de pays (comme les récentes modifications apportées à la <em>Personal Information Protection Act</em> (Alberta)) et la publication de lignes directrices précises sur la divulgation des risques et des incidents de cybersécurité par les entreprises cotées en bourse (voir les lignes directrices sur la cybersécurité de la <em>Securities and Exchange Commission</em> (États-Unis) et des lignes directrices similaires à l’intention des institutions financières).</p>
<p>Nous avons également constaté une reconnaissance croissante du fait que la mosaïque existante de lois et de règlements peut entraîner une augmentation des coûts et de la complexité, ce qui a une incidence sur la compétitivité des entreprises. Bien que les États-Unis se soient officiellement retirés de <em>l’accord commercial du Partenariat transpacifique</em> (PTP), le texte du PTP met en évidence une tendance croissante vers une réponse internationale coordonnée à la cybermenace. </p>
<p>On s’attend à ce qu’il y ait des développements continus sur le front de la réglementation. Entre-temps, ces deux tendances mettent en évidence la situation actuelle et fournissent des conseils aux entreprises concernant les attentes qui leur seront imposées par les autorités de réglementation. </p>
<un nom=)
. </li>
</ul>
<p>En effet, l’information ciblée par une atteinte à la cybersécurité n’est souvent qu’une étape dans un crime ou une attaque plus vaste. Par exemple, les comptes de messagerie de plusieurs entreprises de Wall Street ont été compromis par des criminels qui ont utilisé les informations d’initiés volées pour des gains commerciaux illégaux; les informations par e-mail du Comité national démocrate ont été publiées pour embarrasser les organisateurs et affecter une campagne électorale présidentielle nationale; et un cabinet d’avocats a été compromis dans le piratage des Panama Papers pour avoir accès à des plans d’évitement fiscal liés à des personnalités publiques et politiques du monde entier pour embarrasser ou affecter négativement la carrière et la réputation de ces personnes.</p>
<p>En outre, les analyses d’une variété d’événements de cybersécurité à grande échelle révèlent que le vecteur d’attaque, ou le « chemin d’in » à ces systèmes était via des vulnérabilités dans les systèmes ou les opérations des fournisseurs ou des fournisseurs. L’atteinte à la sécurité de Target en est un excellent exemple, où les comptes d’un sous-traitant de la climatisation ont été violés puis utilisés pour infiltrer les systèmes de Target. Les méchants qui cherchent à violer un système testeront et attaqueront le maillon le plus faible, qui peut parfois être hors du contrôle direct de l’organisation.</p>
<p>À la lumière de ces risques de plus en plus importants et du piratage de consultants et de fournisseurs (dans certains cas, des cabinets d’avocats, des banques et des comptables, pas seulement des fournisseurs de TI ou de climatisation), une partie de l’objectif de toute initiative de cybersécurité s’est déplacée vers la sécurité et la préparation des fournisseurs – afin de protéger les actifs d’information de l’organisation.</p>
<h4>Que peut faire une organisation?</h4>
<ol>
<li>Comprendre la nature de l’information et des systèmes qui sont accessibles à des fournisseurs tiers, les risques associés à la sous-traitance ou à l’autorisation d’accès de tiers, et les conséquences d’un cyber-événement affectant ces informations ou ces systèmes.</li>
<li>Examiner les modalités des contrats des consultants et des fournisseurs pour s’assurer qu’il y a au moins une obligation ou une obligation de protéger et de protéger les renseignements et les systèmes de l’organisation.</li>
<li>S’assurer que l’organisation sera informée par un fournisseur chaque fois qu’une cyberattaque est vécue par l’organisation du fournisseur; examiner si cela devrait s’appliquer à toutes les atteintes qu’ils subissent, ou simplement aux violations qu’ils identifient comme impliquant directement les systèmes ou les informations de l’organisation.</li>
<li>Tenir compte de la portée et de l’ampleur de l’accès du fournisseur à l’information et déterminer si l’accès peut être restreint ou si la portée et l’échelle de l’information ou des systèmes disponibles peuvent être limitées, ce qui permet de limiter le risque.</li>
<li>Obtenir l’assurance que le fournisseur ou l’entrepreneur dispose de systèmes, de personnes et de processus de sécurité adéquats et appropriés pour protéger les intérêts de l’organisation; envisager de vérifier périodiquement ces arrangements en matière de sécurité et de contrôler le droit de l’entrepreneur de sous-traiter.</li>
<li>Comprendre l’emplacement et le contrôle de l’information ou des systèmes de nature délicate (le problème du « nuage ») et s’assurer qu’il y a une responsabilisation adéquate envers l’organisation si ceux-ci sont à l’étranger ou sous le contrôle d’un tiers qui ne sont pas assujettis au lien contractuel avec l’organisation. </li>
</ol>
<p>Nous avons mentionné que les cabinets d’avocats pourraient être ciblés comme un « vecteur d’attaque ». Les autorités américaines chargées de l’application de la loi avertissent l’industrie depuis plusieurs années que les cabinets d’avocats sont de plus en plus ciblés dans les crimes liés à l’information. Les cabinets d’avocats détiennent des informations très sensibles et des informations de grande valeur - ils négocient sur la confiance. Jusqu’à récemment, les cabinets d’avocats étaient également le « ventre mou » en termes de risque, considéré comme relativement indiscipliné et laxiste dans la protection de l’information dans le domaine informatique (bien que reconnu comme étant très sensible et protecteur dans les domaines des politiques, de l’éthique et des professionnels). </p>
<p>L’année 2016 a vu une augmentation spectaculaire de la sensibilisation au sein des cabinets d’avocats à ces cyberrisques, au partage d’informations sur les risques et les menaces, au renforcement des systèmes et des processus informatiques et au resserrement des règles de gouvernance éthiques et professionnelles. Néanmoins, les organisations sont prudentes pour discuter des préoccupations concernant la cybersécurité avec tous les fournisseurs, y compris leurs conseillers juridiques les plus fiables.</p>
<p>Chez Bennett Jones, nous prenons très au sérieux nos devoirs et obligations de protéger les intérêts et les renseignements de nos clients. Dans le cadre de notre approche prudentielle et protectrice de l’information, nous avons mis en œuvre des systèmes, des politiques et des procédures qui, en 2016, ont atteint la certification après que des audits tiers ont prouvé que nous ions entièrement conformes à la norme ISO 27001. En travaillant dans ce domaine du droit, y compris le travail sur la conformité et la politique impliquée dans le processus de certification ISO, nous avons des idées et une expertise uniques que nous mettons à la disposition de nos clients. </p>
<un nom=)
 dans les affaires privées de l’autre. La preuve du préjudice causé à un intérêt économique n’est pas requise.</p>
<p>Une entreprise qui fait l’objet d’une cyberattaque pourrait être tenue responsable si l’employé de l’entreprise est responsable de l’atteinte<sup>4</sup> ou si l’entreprise n’a pas maintenu un système adéquat pour protéger les renseignements personnels en sa possession. </p>
<h4>Décision de 2016</h4>
<p>Dans<em> l’affaire Jane Doe 464533 v ND</em>, 2016 ONSC 54, la Cour supérieure de l’Ontario a élargi la portée des réclamations qui pourraient être présentées dans le cadre d’une « atteinte à la vie privée ». En l’espèce, la Cour a reconnu un droit d’action pour atteinte à la vie privée dans le contexte de la divulgation publique de faits embarrassants. </p>
<p>Cette décision signale l’élargissement des revendications qui peuvent être avancées en fonction des théories de l’atteinte à la vie privée. Pour les entreprises touchées par une cyberattaque, cette décision peut les ouvrir à des réclamations de la part des personnes dont les renseignements personnels ont été divulgués par une cyberattaque.</p>
<a name=)
 du gouvernement fédéral apportera un avis obligatoire d’atteinte à la vie privée à toutes les entités relevant de sa compétence.</p>
<p>Les règles nationales de notification obligatoire des atteintes à la vie privée s’insaptent largement sur le modèle des règles antérieures de l’Alberta. La LPRPDE exige obligatoirement que les organisations avisent les personnes touchées et le Commissariat à la protection de la vie privée du gouvernement fédéral au sujet des atteintes à la protection des données, lorsqu’il est raisonnable de croire que l’atteinte crée un « risque réel de préjudice grave pour la personne ». Ce critère est semblable à celui de la loi de l’Alberta. En vertu de la LPRPDE, le « préjudice important » comprend l’humiliation, l’atteinte à la réputation ou aux relations et le vol d’identité. Un « risque réel » exige la prise en compte de la sensibilité des renseignements, de la probabilité d’utilisation abusive et d’autres facteurs qui peuvent être énoncés dans les règlements. </p>
<p>L’avis en vertu de la LPRPDE doit être donné « dès que possible » après l’atteinte. Une forme de notification peut être établie dans les règlements.</p>
<p>Contrairement à la loi albertaine, la LPRPDE exige également qu’une organisation avise d’autres organisations et le gouvernement lorsque de telles notifications peuvent réduire les risques ou atténuer les préjudices. La LPRPDE exigera que les organisations tiennent et tiennent des registres de toute atteinte aux mesures de protection mettant en cause des renseignements personnels sous leur contrôle. Au besoin, ces documents peuvent être fournis au commissaire fédéral. </p>
<p>D’autres nuances pour ces nouvelles règles, qui ne sont pas encore entrées en vigueur, doivent être développées par règlement. Le gouvernement a sollicité des commentaires sur diverses questions qui seront abordées dans le nouveau règlement, mais il n’a pas encore publié de projet de règlement.</p>
<p>Les organisations qui se préparent à des cyberattaques devraient envisager que la notification des atteintes peut atténuer les risques et qu’elle sera bientôt obligatoire pour un plus grand nombre d’organisations au Canada. Les responsabilités en matière de notification découleront de la loi et de nombreuses relations telles que les contrats d’assurance et les clauses restrictives de financement. Les preuves provenant de cyberattaques montrent que du temps et de l’argent peuvent être économisés si une organisation a évalué ses responsabilités en matière de notification avant qu’un incident ne se produise.</p>
<a name=)
 a rendu une décision conjointe avec le commissaire à la protection de la vie privée de l’Australie et le commissaire australien à l’information par intérim concernant l’atteinte à la protection des données très médiatisée qu’Avid Life Media Inc. (ALM) a connue en 2015. Cette décision énonce les principales considérations pour les entreprises qui recueillent, utilisent ou communiquent des renseignements personnels.</p>
<h4>Les faits</h4>
<p>À titre d’information, ALM, depuis rebaptisé Ruby Corp., exploite un certain nombre de sites de rencontres pour adultes, y compris Ashley Madison, qui cible les personnes qui cherchent à avoir des relations extraconjugales discrètes. ALM a son siège social à Toronto, au Canada, mais ses sites Web sont accessibles dans le monde entier, avec des utilisateurs dans plus de 50 pays. En juillet 2015, des pirates informatiques ont volé des données d’ALM et publié un grand nombre de fichiers en ligne, y compris des informations de profil, de compte et de facturation d’environ 36 millions de comptes d’utilisateurs d’Ashley Madison.</p>
<h4>Principaux points à retenir de la décision</h4>
<ol>
<li>Les renseignements personnels sous la garde ou le contrôle d’une organisation doivent être protégés par des mesures de protection appropriées à la sensibilité des renseignements. La détermination des garanties nécessaires doit être: i) fondée sur le contexte; (ii) proportionnellement à la sensibilité des renseignements personnels; et (iii) guidé par le risque potentiel de préjudice pour les personnes découlant d’une atteinte à la protection des données. Pour prendre cette décision, une organisation ne devrait pas se concentrer exclusivement sur le préjudice financier (p. ex., fraude ou vol d’identité); l’impact du « bien-être physique et social » d’une personne, y compris « les impacts potentiels sur les relations et les risques d’atteinte à la réputation, l’embarras ou l’humiliation » devrait également être pris en compte.</li>
<li>Les mesures de protection adoptées par une organisation devraient être fondées sur un cadre « adéquat et cohérent » de gouvernance et de gestion des risques en matière de sécurité de l’information qui convient à la sensibilité et à la quantité de renseignements personnels recueillis.</li>
<li>Les organisations devraient documenter leurs politiques et procédures de sécurité concernant les mesures visant à prévenir les cyberattaques et les mesures de détection des intrusions.</li>
<li>Les organisations doivent surveiller régulièrement les indications d’intrusion ou d’autres activités non autorisées et documenter leurs évaluations des risques.</li>
<li>Les organisations doivent s’appuyer sur l’authentification multifacteur pour contrôler l’accès administratif à distance par les utilisateurs autorisés.</li>
</ol>
<h4>Conclusion</h4>
<p>Cette décision définit certains paramètres clés pour les organisations qui tentent de comprendre les obligations lorsqu’il s’agit de protéger les données. Cependant, il n’y a pas de feuille de route claire sur la façon de mettre en œuvre ces principes pour une organisation donnée. Il est conseillé aux entreprises de consulter un avocat sur la meilleure façon de respecter les normes connues en matière de prévention des cyberattaques et d’y répondre.</p>
<un nom=)
, qui ont été signalées à la fin de 2016, mettent en évidence les ramifications transfrontalières pour une entreprise frappée par une cyberattaque.</p>
<h4>Cyberattaques Yahoo</h4>
<p>En septembre 2016, Yahoo a annoncé que des pirates informatiques avaient volé des informations de compte - y compris des noms, des e-mails, des adresses, des dates de naissance et des mots de passe cryptés - d’au moins 500 millions d’utilisateurs en 2014 (violation de 2014). <sup>10</sup> À l’époque, la violation de 2014 était la plus importante de l’histoire dans le réseau informatique d’une entreprise, mais ce n’était que le début des problèmes de violation de données de Yahoo. <sup>11</sup></p>
<p>À la mi-décembre 2016, Yahoo a annoncé avoir découvert une cyberattaque distincte qui s’est produite sur son réseau en 2013, qui a compromis plus de 1 milliard de comptes d’utilisateurs. À l’instar de l’atteinte à la vie privée de 2014, l’atteinte de 2013 a donné lieu à des renseignements volés, y compris des noms, des courriels, des adresses, des dates de naissance et des mots de passe chiffrés. <sup>12 ans</sup></p>
<p>On pense que ces atteintes constituent la plus importante atteinte technique à ce jour. En plus d’obtenir des informations de compte personnel de ses clients et utilisateurs, les pirates ont accédé au logiciel de création de cookies de Yahoo et aux questions et réponses de sécurité des utilisateurs, permettant d’autres piratages.</p>
<h4>Litiges et procédures réglementaires</h4>
<p>En raison des violations de données de Yahoo, la société est actuellement confrontée à d’importantes litiges et expositions réglementaires, couvrant un certain nombre de juridictions à travers le monde.</p>
<p>En ce qui concerne la seule violation de 2014, Yahoo a déclaré qu’elle avait fait l’objet de 23 recours collectifs de consommateurs aux États-Unis et dans d’autres juridictions. <sup>13</sup> Bien que le rapport ne précise pas, le nombre de poursuites comprend probablement l’un des deux recours collectifs intentés contre Yahoo au Canada.</p>
<p>En décembre 2016, la Securities and Exchange Commission a ouvert une enquête sur Yahoo et a émis des demandes de documents relatifs aux violations de données. L’enquête de la Commission n’en est qu’à ses débuts, mais elle vise à déterminer si les divulgations de Yahoo au sujet des atteintes à la protection des données étaient conformes aux exigences en matière de déclaration et aux lois sur les valeurs mobilières. <sup>14</sup> Il reste à voir si le Conseil intentera une action d’application de la loi contre Yahoo à la suite des atteintes à la protection des données. Quel que soit le résultat, l’enquête de la Commission créera probablement un précédent pour les exigences de divulgation d’une entreprise à la suite d’une atteinte à la protection des données.</p>
<p>Le superviseur de la protection des données de l’Union européenne a souligné ses graves préoccupations concernant les violations de données de Yahoo et cherche actuellement à obtenir plus d’informations sur la nature et le contenu des données volées, les conséquences de la violation et le nombre de personnes touchées dans l’Union européenne. <sup>15 ans</sup></p>
<p>Yahoo fait également l’objet d’un « examen urgent » par le commissaire irlandais à la protection des données en relation avec les violations de données afin de déterminer si une enquête formelle sera lancée pour violation des lois européennes sur la protection des données. <sup>16 ans</sup></p>
<h4>Mise en garde</h4>
<p>Les violations de Yahoo mettent en évidence l’exposition à des réclamations internationales et à des procédures réglementaires pour une entreprise qui fait l’objet d’une violation de la cybersécurité. À l’approche de 2017, les entreprises doivent tenir compte de ce risque international lorsqu’elles évaluent l’exposition potentielle à une attaque.</p>
<p>En note de bas de page, une offre de Verizon pour acheter Yahoo faite avant ces annonces semble avoir trébuché, et les violations peuvent avoir affecté les prix ou d’autres conditions. Yahoo a annoncé que son PDG démissionnera du conseil d’administration de la société après la fusion prévue. </p>
<un nom=)
 n’est pas négociable avec un délai serré de 24 à 48 heures pour répondre.</li>
<li>Un échantillon des données sensibles qui ont été compromises est fourni sur un lien pour montrer que la menace est sérieuse et réelle (tout comme une photo de l’otage en détresse détenant le journal actuel).</li>
<li>La victime est avertie d’éviter d’impliquer les autorités (qui peuvent ne pas aider dans tous les cas).</li>
<li>L’attaquant met en garde contre les conséquences associées à la divulgation de la violation de la vie privée si la rançon n’est pas payée exactement comme indiqué. </li>
</ol>
<p>Au lieu de demander qu’une valise d’argent soit déposée dans un endroit sombre, les ravisseurs de données d’aujourd’hui veulent un paiement en bitcoin - la monnaie électronique qui serait introuvable.</p>
<p>Face à une attaque de ransomware, les entreprises ont besoin de conseils spécialisés et expérimentés, d’une évaluation immédiate de la menace, d’un confinement selon le besoin de savoir et d’un plan de communication et d’atténuation. Afin de contenir les dommages potentiels de l’attaque, il est conseillé aux entreprises de consulter un avocat dès qu’elles sont informées de l’attaque. </p>
<h3>Références</h3>
<ol>
<li>No CV-15-01322-PHX-SMM (D. Ariz 2016).</li>
<li>Yahoo Statement, <em><a rel=)
Un message important sur Yahoo User Security, 22 septembre 2016.
Traduction alimentée par l’IA.
Veuillez noter que cette publication présente un aperçu des tendances juridiques notables et des mises à jour connexes. Elle est fournie à titre informatif seulement et ne saurait remplacer un conseil juridique personnalisé. Si vous avez besoin de conseils adaptés à votre propre situation, veuillez communiquer avec l’un des auteurs pour savoir comment nous pouvons vous aider à gérer vos besoins juridiques.
Pour obtenir l’autorisation de republier la présente publication ou toute autre publication, veuillez communiquer avec Amrita Kochhar à kochhara@bennettjones.com.
Bennett Jones