En 2016, la cybersécurité a continué de croître en tant que principal risque commercial pour les entreprises du monde entier. Les atteintes à la protection des données ont continué d’augmenter en nombre et en ampleur, et le paysage de la responsabilité juridique et réglementaire a évolué et s’est élargi. Dans ce rapport, l’équipe de cybersécurité de Bennett Jones analyse les événements clés de 2016 en vue des questions qui devraient être à l’avant-plan pour les entreprises et leurs administrateurs en 2017.
En 2016, le « cyber » est entré plus que jamais dans l’esprit du grand public et de la salle de conférence.
Les cyber-événements se produisent sur le réseau informatique d’une entreprise ou sont menés par son intermédiaire dans le but d’obtenir un accès non autorisé pour compromettre la confidentialité, l’intégrité ou la disponibilité de l’information, des systèmes de communication ou des réseaux de l’entreprise.
Pour le milieu des affaires, les incidents de cybersécurité visent à nuire à la confiance des clients ou des intervenants, ou aux intérêts financiers, de réputation, de santé ou de sécurité. Ces cyberincidents peuvent toucher une entreprise ou un groupe d’entités commerciales et leurs parties prenantes. La préparation aux cyberincidents est devenue un important centre d’intérêt en matière de gestion des risques pour les entreprises et leurs conseils d’administration.
Les cyberincidents ne se limitent pas au vol d’identité ou aux atteintes à la vie privée, et peuvent également inclure des éléments tels que:
Les cybercrimes sont souvent commis comme un moyen d’atteindre une autre fin, généralement pour gagner de l’argent (vol d’informations d’initiés dans des cabinets d’avocats de Wall Street, à l’aide de stratagèmes de délits d’initiés criminels; vol d’identité pour compromettre les systèmes, ou pour perpétrer d’autres fraudes commerciales telles que la fraude bancaire et de crédit).
En 2016, nous avons été les victimes de cyberincidents non commerciaux, tels que le « doxing », la publication d’informations privées sur Internet (par exemple, le vol et la divulgation d’informations des Panama Papers, le vol et la divulgation d’informations du système de messagerie du Comité national démocrate, et les attaques de cyberguerre par les gouvernements nationaux pendant les conflits régionaux en Estonie, en Crimée, en Ukraine, en Syrie, en Égypte et en Irak).
Les cyberattaques de 2016 ont élargi notre compréhension de la cybersécurité :
Pour lutter contre la cybercriminalité, vous devrez :
La formation de vos employés sur les risques et l’évitement des risques est l’une des étapes les plus importantes. Vos employés sont vos meilleurs « agents de renseignement » à faire appel pour protéger vos renseignements et vos systèmes.
Bennett Jones a réuni une équipe avec les compétences, l’expérience, l’expertise et les connexions capables d’aider à la préparation à la cybersécurité et à la réponse et à l’atténuation des incidents en cas de cyber-événement. Un conseiller juridique externe est un élément important de votre planification pour faire face à ce type de problèmes.
Lorsqu’il s’agit de protéger les données de votre entreprise, l’endroit le plus important pour commencer est la salle de réunion.
La cyberattaque contre Ashley Madison (le site de rencontre pour les affaires extraconjugales) a mis en évidence une exposition potentielle pour les administrateurs, s’ils ne prennent pas de mesures raisonnables pour éviter et répondre à une attaque. Le rapport conjoint des commissaires à la protection de la vie privée du Canada et de l’Australie sur l’atteinte à la vie privée d’Ashley Madison n’indique pas expressément l’exposition des administrateurs de la société; toutefois, le rapport souligne que les normes attendues des entreprises relèvent de la responsabilité du conseil d’administration.
Le rôle du conseil d’administration en matière d’infrastructure informatique n’est pas différent de son rôle dans la gestion d’autres risques dans l’entreprise. Le rôle du conseil d’administration en est un de surveillance. Les administrateurs n’ont pas besoin d’être ou de devenir des experts en cybersécurité ou en informatique. Le conseil d’administration peut compter sur la direction pour concevoir et mettre en œuvre l’infrastructure de TI; mais le conseil d’administration devrait poser suffisamment de questions pour être convaincu que les bonnes questions sont examinées et traitées. Le défaut du conseil d’administration de prendre les mesures appropriées en matière de cybersécurité peut exposer les administrateurs à une responsabilité.
Par conséquent, les administrateurs doivent avoir une compréhension de base de l’infrastructure informatique de la société afin de pouvoir identifier les risques auxquels la société est confrontée et évaluer si ces risques sont traités.
Le premier enjeu pour un administrateur est d’examiner la nature et l’étendue de la dépendance de l’entreprise à l’égard de son infrastructure de TI. Un conseil d’administration doit avoir une compréhension raisonnable de la façon dont l’entreprise acquiert, utilise et dépend de son infrastructure informatique dans le cours normal de ses activités. Sur la base de cette compréhension, la question suivante est l’impact que tout degré de défaillance de l’infrastructure informatique peut avoir sur l’entreprise. Les trois principaux risques potentiels pour la cybersécurité de l’entreprise peuvent être classés comme suit :
La technologie est un aspect fondamental de la valeur et du risque pour l’entreprise. Les questions en jeu vont bien au-delà des questions technologiques pour se poser des questions fondamentales de gouvernance et de gestion des risques.
Naviguer dans la réglementation sur la cybersécurité au Canada (et ailleurs) a été un défi pour les entreprises, car il s’agit d’un domaine de croissance et de changement continus. Il est essentiel pour les entreprises de se tenir au courant des développements réglementaires afin de comprendre leurs responsabilités croissantes dans ce domaine.
Historiquement, les menaces à la cybersécurité ont été traitées par les gouvernements dans le cadre d’un processus fragmentaire par l’adoption de diverses lois et de divers règlements exigeant la protection de certaines catégories de données (comme les renseignements financiers, médicaux ou personnels), la protection de certaines industries clés (comme les infrastructures essentielles ou les services bancaires) et la criminalisation de certaines activités (comme l’article 19 de la Loi sur la protection de l’information (Canada) (espionnage économique) et le Code criminel (Canada) paragraphes 342(3) (utilisation non autorisée de données de carte de crédit), 342.1 (utilisation non autorisée d’un ordinateur), 380 (fraude) et 402.2 (vol d’identité et fraude d’identité)).
Par conséquent, une mosaïque complexe et fragmentée de lois et de pratiques de l’industrie a évolué, qui s’est généralement concentrée sur des données particulièrement sensibles ou des actifs « à risque ».
S’attaquer aux cybermenaces de plus en plus sophistiquées et en évolution qui deviennent de plus en plus évidentes pose maintenant un défi de taille aux organismes de réglementation et aux organisations, et nous avons récemment reconnu un certain nombre de tendances qui se développent dans l’approche réglementaire à l’égard des cybermenaces. En particulier, on met de plus en plus l’accent sur : (i) la divulgation d’incidents de cybersécurité; et ii) l’harmonisation de la réglementation.
Pour contrebalancer la réticence des organisations à divulguer les cyberincidents pour aider à répondre à un besoin perçu de renseignements opportuns et pertinents pour permettre aux organismes d’application de la loi de réagir aux cybermenaces, l’accent a été mis sur les divulgations de cyberincidents par les victimes. Par exemple, l’adoption provisoire de la déclaration obligatoire des atteintes à la vie privée a vu le jour dans un certain nombre de pays (comme les récentes modifications apportées à la Personal Information Protection Act (Alberta)) et la publication de lignes directrices précises sur la divulgation des risques et des incidents de cybersécurité par les entreprises cotées en bourse (voir les lignes directrices sur la cybersécurité de la Securities and Exchange Commission (États-Unis) et des lignes directrices similaires à l’intention des institutions financières).
Nous avons également constaté une reconnaissance croissante du fait que la mosaïque existante de lois et de règlements peut entraîner une augmentation des coûts et de la complexité, ce qui a une incidence sur la compétitivité des entreprises. Bien que les États-Unis se soient officiellement retirés de l’accord commercial du Partenariat transpacifique (PTP), le texte du PTP met en évidence une tendance croissante vers une réponse internationale coordonnée à la cybermenace.
On s’attend à ce qu’il y ait des développements continus sur le front de la réglementation. Entre-temps, ces deux tendances mettent en évidence la situation actuelle et fournissent des conseils aux entreprises concernant les attentes qui leur seront imposées par les autorités de réglementation.
La cybersécurité est une priorité pour de nombreuses entreprises, en particulier dans les organisations qui traitent des informations précieuses ou sensibles telles que l’identité des membres ou des utilisateurs, le traitement des paiements par carte de crédit ou de compte, les secrets commerciaux industriels et des cibles évidentes similaires.
De plus en plus, d’autres renseignements de nature délicate sont également ciblés :
En effet, l’information ciblée par une atteinte à la cybersécurité n’est souvent qu’une étape dans un crime ou une attaque plus vaste. Par exemple, les comptes de messagerie de plusieurs entreprises de Wall Street ont été compromis par des criminels qui ont utilisé les informations d’initiés volées pour des gains commerciaux illégaux; les informations par e-mail du Comité national démocrate ont été publiées pour embarrasser les organisateurs et affecter une campagne électorale présidentielle nationale; et un cabinet d’avocats a été compromis dans le piratage des Panama Papers pour avoir accès à des plans d’évitement fiscal liés à des personnalités publiques et politiques du monde entier pour embarrasser ou affecter négativement la carrière et la réputation de ces personnes.
En outre, les analyses d’une variété d’événements de cybersécurité à grande échelle révèlent que le vecteur d’attaque, ou le « chemin d’in » à ces systèmes était via des vulnérabilités dans les systèmes ou les opérations des fournisseurs ou des fournisseurs. L’atteinte à la sécurité de Target en est un excellent exemple, où les comptes d’un sous-traitant de la climatisation ont été violés puis utilisés pour infiltrer les systèmes de Target. Les méchants qui cherchent à violer un système testeront et attaqueront le maillon le plus faible, qui peut parfois être hors du contrôle direct de l’organisation.
À la lumière de ces risques de plus en plus importants et du piratage de consultants et de fournisseurs (dans certains cas, des cabinets d’avocats, des banques et des comptables, pas seulement des fournisseurs de TI ou de climatisation), une partie de l’objectif de toute initiative de cybersécurité s’est déplacée vers la sécurité et la préparation des fournisseurs – afin de protéger les actifs d’information de l’organisation.
Nous avons mentionné que les cabinets d’avocats pourraient être ciblés comme un « vecteur d’attaque ». Les autorités américaines chargées de l’application de la loi avertissent l’industrie depuis plusieurs années que les cabinets d’avocats sont de plus en plus ciblés dans les crimes liés à l’information. Les cabinets d’avocats détiennent des informations très sensibles et des informations de grande valeur - ils négocient sur la confiance. Jusqu’à récemment, les cabinets d’avocats étaient également le « ventre mou » en termes de risque, considéré comme relativement indiscipliné et laxiste dans la protection de l’information dans le domaine informatique (bien que reconnu comme étant très sensible et protecteur dans les domaines des politiques, de l’éthique et des professionnels).
L’année 2016 a vu une augmentation spectaculaire de la sensibilisation au sein des cabinets d’avocats à ces cyberrisques, au partage d’informations sur les risques et les menaces, au renforcement des systèmes et des processus informatiques et au resserrement des règles de gouvernance éthiques et professionnelles. Néanmoins, les organisations sont prudentes pour discuter des préoccupations concernant la cybersécurité avec tous les fournisseurs, y compris leurs conseillers juridiques les plus fiables.
Chez Bennett Jones, nous prenons très au sérieux nos devoirs et obligations de protéger les intérêts et les renseignements de nos clients. Dans le cadre de notre approche prudentielle et protectrice de l’information, nous avons mis en œuvre des systèmes, des politiques et des procédures qui, en 2016, ont atteint la certification après que des audits tiers ont prouvé que nous ions entièrement conformes à la norme ISO 27001. En travaillant dans ce domaine du droit, y compris le travail sur la conformité et la politique impliquée dans le processus de certification ISO, nous avons des idées et une expertise uniques que nous mettons à la disposition de nos clients.
Dans le monde des violations inévitables de la cybersécurité, les entreprises ont de plus en plus jeté leur dévolu sur les polices d’assurance qui prétendent se protéger contre les risques d’une attaque. Cependant, l’expérience montre que certaines politiques ne protègent pas contre toute l’étendue des risques.
Une décision de 2016 aux États-Unis souligne l’importance de faire appel à un conseiller juridique pour aider à se protéger contre la responsabilité découlant d’une cyberattaque.
Dans l’affaire P.F. Chang’s v Federal Insurance Co1, des pirates informatiques ont obtenu et affiché sur Internet 60 000 numéros de carte de crédit appartenant aux clients de P.F. Chang. Cela a abouti à une évaluation par les sociétés de cartes de crédit par rapport au réparateur de P.F. Chang, Bank of America. À son tour, Bank of America a cherché à indemniser en vertu de son contrat de service avec P.F. Chang’s. Un tribunal fédéral de district a jugé que la police d’assurance de P.F. Chang ne fournissait pas de couverture pour cette réclamation parce que la police exigeait que le demandeur subisse un préjudice corporel. En l’espèce, Bank of America était le demandeur et Bank of America n’a pas subi de préjudice corporel, car les dossiers volés appartenaient aux clients. La Cour est arrivée à sa conclusion même si la compagnie d’assurance a commercialisé la police comme « une solution d’assurance souple conçue par des experts en risques de cybersécurité pour faire face à toute l’étendue des risques associés à la réalisation d’affaires dans le monde d’aujourd’hui dépendant de la technologie »2 La Cour a également noté que les parties étaient sophistiquées et que la police ne s’appliquait pas dans les circonstances, même si un « [c]ourt est censé interpréter largement la couverture des clauses de manière à assurer une couverture maximale à un assuré3.
Cette affaire souligne l’importance de s’assurer que la police d’assurance couvre toutes les éventualités possibles découlant d’une cyberattaque. Compte tenu de la nouveauté des atteintes à la cybersécurité et de l’évolution continue de la jurisprudence et de la législation canadiennes, il est conseillé aux entreprises de retenir les services d’un conseiller juridique pour les aider à déterminer la portée de la couverture d’assurance requise.
Au cours de la dernière année, le marché de la cyberassurance a considérablement mûri, avec de nouveaux produits de cyberassurance qui sont destinés à atténuer les risques non gérés par d’autres couvertures commerciales. Les primes et les coûts, cependant, semblent être volatils, car les assureurs acquièrent plus d’expérience en matière de pertes et sont en mesure de peaufiner leurs souscriptions. Les entreprises qui recherchent une cyberassurance sont bien avisées d’être particulières dans le choix de la couverture et l’intégration des polices d’assurance pour atténuer les cyberrisques.
Une décision de l’Ontario de 2016 pourrait signaler une exposition accrue pour les entreprises qui font l’objet d’une cyberattaque en vertu d’une allégation d'« atteinte à la vie privée ».
Dans sa décision de 2012 Jones v Tsige, 2012 ONCA 32, la Cour d’appel de l’Ontario a reconnu un droit d’action pour atteinte à la vie privée. En bref, cela signifie qu’une personne peut être responsable envers une autre si elle s’immisce intentionnellement (ou imprudemment) dans les affaires privées de l’autre. La preuve du préjudice causé à un intérêt économique n’est pas requise.
Une entreprise qui fait l’objet d’une cyberattaque pourrait être tenue responsable si l’employé de l’entreprise est responsable de l’atteinte4 ou si l’entreprise n’a pas maintenu un système adéquat pour protéger les renseignements personnels en sa possession.
Dans l’affaire Jane Doe 464533 v ND, 2016 ONSC 54, la Cour supérieure de l’Ontario a élargi la portée des réclamations qui pourraient être présentées dans le cadre d’une « atteinte à la vie privée ». En l’espèce, la Cour a reconnu un droit d’action pour atteinte à la vie privée dans le contexte de la divulgation publique de faits embarrassants.
Cette décision signale l’élargissement des revendications qui peuvent être avancées en fonction des théories de l’atteinte à la vie privée. Pour les entreprises touchées par une cyberattaque, cette décision peut les ouvrir à des réclamations de la part des personnes dont les renseignements personnels ont été divulgués par une cyberattaque.
Un facteur clé dans l’atténuation des risques dans les cas d’atteinte à la cybersécurité est la notification des personnes touchées. La plupart des États américains ont des exigences obligatoires en matière de notification des atteintes à la vie privée.
La scène canadienne est en train de changer. Bien que l’Alberta ait un avis d’atteinte obligatoire depuis 2010, en 2015, la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) du gouvernement fédéral apportera un avis obligatoire d’atteinte à la vie privée à toutes les entités relevant de sa compétence.
Les règles nationales de notification obligatoire des atteintes à la vie privée s’insaptent largement sur le modèle des règles antérieures de l’Alberta. La LPRPDE exige obligatoirement que les organisations avisent les personnes touchées et le Commissariat à la protection de la vie privée du gouvernement fédéral au sujet des atteintes à la protection des données, lorsqu’il est raisonnable de croire que l’atteinte crée un « risque réel de préjudice grave pour la personne ». Ce critère est semblable à celui de la loi de l’Alberta. En vertu de la LPRPDE, le « préjudice important » comprend l’humiliation, l’atteinte à la réputation ou aux relations et le vol d’identité. Un « risque réel » exige la prise en compte de la sensibilité des renseignements, de la probabilité d’utilisation abusive et d’autres facteurs qui peuvent être énoncés dans les règlements.
L’avis en vertu de la LPRPDE doit être donné « dès que possible » après l’atteinte. Une forme de notification peut être établie dans les règlements.
Contrairement à la loi albertaine, la LPRPDE exige également qu’une organisation avise d’autres organisations et le gouvernement lorsque de telles notifications peuvent réduire les risques ou atténuer les préjudices. La LPRPDE exigera que les organisations tiennent et tiennent des registres de toute atteinte aux mesures de protection mettant en cause des renseignements personnels sous leur contrôle. Au besoin, ces documents peuvent être fournis au commissaire fédéral.
D’autres nuances pour ces nouvelles règles, qui ne sont pas encore entrées en vigueur, doivent être développées par règlement. Le gouvernement a sollicité des commentaires sur diverses questions qui seront abordées dans le nouveau règlement, mais il n’a pas encore publié de projet de règlement.
Les organisations qui se préparent à des cyberattaques devraient envisager que la notification des atteintes peut atténuer les risques et qu’elle sera bientôt obligatoire pour un plus grand nombre d’organisations au Canada. Les responsabilités en matière de notification découleront de la loi et de nombreuses relations telles que les contrats d’assurance et les clauses restrictives de financement. Les preuves provenant de cyberattaques montrent que du temps et de l’argent peuvent être économisés si une organisation a évalué ses responsabilités en matière de notification avant qu’un incident ne se produise.
Les cas de cybersécurité sont-ils la prochaine grande chose dans les recours collectifs canadiens? Plusieurs cas d’atteinte à la protection des données bien connus ont fait l’objet d’une importante exposition médiatique, y compris ceux impliquant Ashley Madison et Yahoo! Inc. Ces affaires impliquent de nouveaux domaines du droit, y compris la responsabilité d’une entreprise pour la violation de la vie privée de ses employés. L’année dernière, des plaignants représentatifs ont déposé un certain nombre de cas avec des allégations similaires.
Plusieurs cas d’atteinte à la protection des données sont en attente de certification. Un recours collectif demande 50 millions de dollars en dommages-intérêts au Casino Rama au nom des employés, des clients et des fournisseurs dont les renseignements confidentiels ont été volés lors d’une cyberattaque contre le casino. 5 Un autre réclame 75 millions de dollars de dommages-intérêts auprès des Services à la famille et à l’enfance de Lanark, Leeds et Grenville, qui ont fourni aux personnes touchées des services de protection de l’enfance et de la famille. 6 En plus d’alléguer la négligence, le manquement à une obligation fiduciaire, l’abus de confiance, la déclaration inexacte faite par négligence et l’atteinte à la vie privée, la présente affaire soutient une violation de la Charte canadienne des droits et libertés parce que le défendeur exerçait ses activités sous l’emprise du ministère des Services à l’enfance et à la jeunesse.
Dans le même temps, en 2016, les tribunaux ont certifié et approuvé des règlements pour un certain nombre de recours collectifs en cybersécurité. Bien que l’affaire R c. John Doe7 ne traite pas strictement d’une cyberattaque, les demandeurs ont présenté des réclamations en vertu des mêmes causes d’action après que Santé Canada a envoyé aux membres du groupe de grandes enveloppes intitulées « Programme d’accès médical à la marijuana ». La Cour d’appel fédérale a certifié le recours collectif pour négligence et abus de confiance.
Les tribunaux ont également approuvé des règlements dans l’affaire Drew c. Walmart Canada Inc.8 et Lazanski c. Home Depot, Inc.9, fondés sur des allégations d’atteintes à la protection des données compromettant les renseignements personnels des clients. Ces cas ont été réglés pour un montant allant jusqu’à 750 000 $ et 520 000 $ respectivement , qui sont de petits règlements au fur et à mesure que les recours collectifs vont.
Les recours collectifs en cybersécurité ne seront la prochaine grande chose que lorsqu’ils commanderont des dommages-intérêts importants. Une chose est sûre: vous ne voulez pas que le nom de votre entreprise devienne synonyme de responsabilité pour violation de données si et quand il le fait.
Le 22 août 2016, le Commissariat à la protection de la vie privée du Canada (CPVP) a rendu une décision conjointe avec le commissaire à la protection de la vie privée de l’Australie et le commissaire australien à l’information par intérim concernant l’atteinte à la protection des données très médiatisée qu’Avid Life Media Inc. (ALM) a connue en 2015. Cette décision énonce les principales considérations pour les entreprises qui recueillent, utilisent ou communiquent des renseignements personnels.
À titre d’information, ALM, depuis rebaptisé Ruby Corp., exploite un certain nombre de sites de rencontres pour adultes, y compris Ashley Madison, qui cible les personnes qui cherchent à avoir des relations extraconjugales discrètes. ALM a son siège social à Toronto, au Canada, mais ses sites Web sont accessibles dans le monde entier, avec des utilisateurs dans plus de 50 pays. En juillet 2015, des pirates informatiques ont volé des données d’ALM et publié un grand nombre de fichiers en ligne, y compris des informations de profil, de compte et de facturation d’environ 36 millions de comptes d’utilisateurs d’Ashley Madison.
Cette décision définit certains paramètres clés pour les organisations qui tentent de comprendre les obligations lorsqu’il s’agit de protéger les données. Cependant, il n’y a pas de feuille de route claire sur la façon de mettre en œuvre ces principes pour une organisation donnée. Il est conseillé aux entreprises de consulter un avocat sur la meilleure façon de respecter les normes connues en matière de prévention des cyberattaques et d’y répondre.
Les retombées des multiples atteintes à la protection des données subies par Yahoo! Inc. (Yahoo), qui ont été signalées à la fin de 2016, mettent en évidence les ramifications transfrontalières pour une entreprise frappée par une cyberattaque.
En septembre 2016, Yahoo a annoncé que des pirates informatiques avaient volé des informations de compte - y compris des noms, des e-mails, des adresses, des dates de naissance et des mots de passe cryptés - d’au moins 500 millions d’utilisateurs en 2014 (violation de 2014). 10 À l’époque, la violation de 2014 était la plus importante de l’histoire dans le réseau informatique d’une entreprise, mais ce n’était que le début des problèmes de violation de données de Yahoo. 11
À la mi-décembre 2016, Yahoo a annoncé avoir découvert une cyberattaque distincte qui s’est produite sur son réseau en 2013, qui a compromis plus de 1 milliard de comptes d’utilisateurs. À l’instar de l’atteinte à la vie privée de 2014, l’atteinte de 2013 a donné lieu à des renseignements volés, y compris des noms, des courriels, des adresses, des dates de naissance et des mots de passe chiffrés. 12 ans
On pense que ces atteintes constituent la plus importante atteinte technique à ce jour. En plus d’obtenir des informations de compte personnel de ses clients et utilisateurs, les pirates ont accédé au logiciel de création de cookies de Yahoo et aux questions et réponses de sécurité des utilisateurs, permettant d’autres piratages.
En raison des violations de données de Yahoo, la société est actuellement confrontée à d’importantes litiges et expositions réglementaires, couvrant un certain nombre de juridictions à travers le monde.
En ce qui concerne la seule violation de 2014, Yahoo a déclaré qu’elle avait fait l’objet de 23 recours collectifs de consommateurs aux États-Unis et dans d’autres juridictions. 13 Bien que le rapport ne précise pas, le nombre de poursuites comprend probablement l’un des deux recours collectifs intentés contre Yahoo au Canada.
En décembre 2016, la Securities and Exchange Commission a ouvert une enquête sur Yahoo et a émis des demandes de documents relatifs aux violations de données. L’enquête de la Commission n’en est qu’à ses débuts, mais elle vise à déterminer si les divulgations de Yahoo au sujet des atteintes à la protection des données étaient conformes aux exigences en matière de déclaration et aux lois sur les valeurs mobilières. 14 Il reste à voir si le Conseil intentera une action d’application de la loi contre Yahoo à la suite des atteintes à la protection des données. Quel que soit le résultat, l’enquête de la Commission créera probablement un précédent pour les exigences de divulgation d’une entreprise à la suite d’une atteinte à la protection des données.
Le superviseur de la protection des données de l’Union européenne a souligné ses graves préoccupations concernant les violations de données de Yahoo et cherche actuellement à obtenir plus d’informations sur la nature et le contenu des données volées, les conséquences de la violation et le nombre de personnes touchées dans l’Union européenne. 15 ans
Yahoo fait également l’objet d’un « examen urgent » par le commissaire irlandais à la protection des données en relation avec les violations de données afin de déterminer si une enquête formelle sera lancée pour violation des lois européennes sur la protection des données. 16 ans
Les violations de Yahoo mettent en évidence l’exposition à des réclamations internationales et à des procédures réglementaires pour une entreprise qui fait l’objet d’une violation de la cybersécurité. À l’approche de 2017, les entreprises doivent tenir compte de ce risque international lorsqu’elles évaluent l’exposition potentielle à une attaque.
En note de bas de page, une offre de Verizon pour acheter Yahoo faite avant ces annonces semble avoir trébuché, et les violations peuvent avoir affecté les prix ou d’autres conditions. Yahoo a annoncé que son PDG démissionnera du conseil d’administration de la société après la fusion prévue.
En règle générale, une attaque de rançon de données imite un enlèvement traditionnel de plusieurs manières:
Au lieu de demander qu’une valise d’argent soit déposée dans un endroit sombre, les ravisseurs de données d’aujourd’hui veulent un paiement en bitcoin - la monnaie électronique qui serait introuvable.
Face à une attaque de ransomware, les entreprises ont besoin de conseils spécialisés et expérimentés, d’une évaluation immédiate de la menace, d’un confinement selon le besoin de savoir et d’un plan de communication et d’atténuation. Afin de contenir les dommages potentiels de l’attaque, il est conseillé aux entreprises de consulter un avocat dès qu’elles sont informées de l’attaque.