À une époque où les menaces numériques sont plus complexes que jamais, la cybersécurité est devenue une préoccupation urgente pour les entreprises familiales. Grâce à leurs structures interconnectées, à leurs actifs précieux et à leurs renseignements sensibles, ces entreprises sont des cibles de choix pour les cyberattaques. Mais comment les entreprises familiales peuvent-elles se protéger tout en maintenant l’efficacité opérationnelle?
Dans cet épisode de Beyond Succession, l’animatrice Leah Tolton est accompagnée de Suzie Suliman, associée chez Bennett Jones, qui se penche sur les défis en matière de cybersécurité propres aux entreprises familiales et sur la façon d’atténuer les risques. Ils expliquent pourquoi les entreprises familiales sont particulièrement vulnérables aux cybermenaces, en établissant un équilibre entre la cybersécurité et des activités commerciales harmonieuses et des mesures pratiques pour renforcer vos défenses, comme la gestion des fournisseurs et la planification des interventions en cas d’incident.
Que vous soyez aux prises avec des transitions de leadership, que vous gériez des structures de gouvernance complexes ou que vous gériez des activités quotidiennes, cet épisode offre des conseils pratiques pour protéger l’héritage de votre entreprise à l’ère numérique.
Transcript
Suzie Suliman: [00:00:00] L’adoption et l’amélioration rapide de la technologie ont entraîné une augmentation du nombre de cyberattaques. Et nous avons vu cela depuis la pandémie, où les organisations vont de plus en plus en ligne et comptent sur les technologies et les environnements infonuagiques pour stocker leurs données. Et c’est en quelque sorte l’un des principaux domaines où nous voyons des cyberattaques, c’est dans l’environnement infonuagique, parce que c’est là, vous savez, où se trouvent les actifs de données les plus importants. Nous constatons également que, grâce à l’IA générative, les auteurs de menace deviennent beaucoup plus sophistiqués, plus rapides et plus efficaces, ce qui entraîne, vous savez, des risques plus importants pour les organisations.
Leah Tolton: [00:00:41] Welcome to Beyond Succession, une série de balados dans le cadre du balado Bennett Jones Business Law Talks qui traite de sujets liés à la complexité de l’entreprise familiale. Je m’appelle Leah Tolton, je suis associée chez Bennett Jones, S.E.N.C.R.L., s.r.l., et je suis avocate spécialisée en droit des entreprises familiales et des sociétés. J’ai à cœur d’aider les entreprises familiales à composer avec les complexités de la gouvernance, de la relève et de la croissance.
Avant de commencer ce balado, veuillez noter que tout ce qui est dit ou discuté dans ce balado ne constitue pas un avis juridique. Demandez toujours conseil à votre conseiller juridique, car chaque situation est différente. Et les résultats peuvent varier dans cet épisode, nous nous attaquons à un sujet qui devient de plus en plus critique à l’ère numérique, la cybersécurité pour les entreprises familiales, les enjeux sont élevés, allant des hameçonnages aux rançongiciels, les risques sont réels et les conséquences peuvent être dévastatrices sur le plan financier.
Sur le plan opérationnel et même pour votre réputation. Suzie Suliman, avocate en droit des sociétés et en propriété intellectuelle chez Bennett Jones, m’accompagne aujourd’hui pour aider les clients à protéger leurs actifs technologiques. Elle aide également les clients à se préparer aux incidents de sécurité des données et à y réagir. Bienvenue, Suzie, au balado.
Suzie Suliman: [00:02:10] Merci beaucoup de m’accueillir, Leah, je suis heureuse d’être ici.
Leah Tolton: [00:02:13] Avant d’aborder le sujet de la cybersécurité pour les entreprises familiales, voici un fait intéressant au sujet de Suzie que je voulais soulever. Suzie, avant votre carrière juridique, vous avez obtenu un baccalauréat en génie électrique et biomédical. Et j’ai cru comprendre que pendant vos études d’ingénieur, vous avez conçu et mis en œuvre un moniteur EEG et un logiciel d’intelligence artificielle visant à détecter les crises d’épilepsie.
Pouvez-vous m’en dire un peu plus à ce sujet?
Suzie Suliman: [00:02:40] Bien sûr. Merci de m’avoir signalé ce fait amusant, Leah. Oui, c’est vrai. J’ai étudié l’ingénierie électrique et biomédicale. Au cours de ma dernière année, nous avons dû réaliser un projet de synthèse dans le cadre duquel nous avons essentiellement appliqué toutes les compétences que nous avons acquises tout au long de notre programme.
Et on nous a demandé de choisir un problème réel et d’y trouver une solution. Mon équipe et moi avons donc examiné l’épilepsie et, grâce à nos recherches, nous avons appris que l’épilepsie peut avoir une incidence sur l’autonomie d’une personne et entraîner des taux plus élevés de troubles psychologiques comme l’anxiété. Nous avons donc entrepris d’élaborer quelque chose qui aiderait les gens à acquérir plus d’autonomie et à réduire les répercussions psychologiques. Il y avait des outils sur le marché à l’époque, mais ils étaient tout simplement très coûteux et inaccessibles, ou ils n’étaient pas très précis. Nous avons donc créé un moniteur EEG. C’était donc quelque chose comme un chapeau qu’on pouvait porter et qui lisait les personnes, l’activité électrique dans le cerveau de la personne. Ensuite, le logiciel que nous avons conçu pour l’utiliser apprendrait essentiellement ce qui constitue une activité cérébrale typique pour cette personne. Et il détecterait une activité anormale qui rappellerait une crise d’épilepsie. Cela déclencherait donc une alarme ou un appel à l’aide.
Et nous étions très fiers de cette réalisation parce que, oui, c’était, c’était assez précis selon nos tests et c’était beaucoup moins cher que ce qui était disponible sur le marché à l’époque.
Leah Tolton: [00:04:07] Bien, félicitations pour cette réalisation. Je constate que vous vous intéressez depuis longtemps à la protection des idées et de la propriété intellectuelle. Vous êtes donc tout à fait en mesure de nous parler de choses qui sont liées à cela aujourd’hui.
Suzie Suliman: [00:04:20] Merci beaucoup. Oui, j’aime ce que je fais.
Leah Tolton: [00:04:22] Great. Maintenant, quand je parle d’une entreprise familiale, je pense à une organisation qui a vous savez, peut-être un ensemble de pièces. Elle a souvent une entreprise en exploitation qui mène toutes les activités que la famille possède, exploite, a exploité ou a peut-être exploité pendant des années.
Souvent, cela comprend une entité qui possède des biens immobiliers. Inclut parfois, um, une société distincte ayant d’autres participations dans celle-ci. Peut-être que certains investissements qui pourraient être reportés et reçus à l’avenir pourraient comprendre des choses qui seront héritées, euh, peut-être des actifs philanthropiques, toutes ces choses et les liens que les membres de la famille ont.
Il y a donc beaucoup d’éléments en mouvement dans une entreprise familiale, lorsque je la décris ainsi. Dans cette optique, pouvez-vous commencer par nous donner un aperçu du contexte de la cybersécurité et des principales menaces dont une organisation comme celle que je viens de décrire devrait être consciente?
Suzie Suliman: [00:05:26] Bien sûr, oui.
Je veux dire, avec l’adoption de la technologie, et la technologie, vous savez, s’améliorant si rapidement, cela a mené à plus de cas d’instabilité de cyberattaques. Depuis la pandémie, nous avons constaté que les organisations utilisent de plus en plus les technologies et les environnements infonuagiques pour stocker leurs données. Et c’est en quelque sorte l’un des principaux domaines où nous voyons des cyberattaques, c’est dans l’environnement infonuagique, parce que c’est là, vous savez, où se trouvent les actifs de données les plus importants. Les auteurs de menace d’IA générative deviennent beaucoup plus sophistiqués, plus rapides et plus efficaces, ce qui entraîne, vous savez, des risques plus importants pour les organisations.
Le plus important, et vous l’avez mentionné plus tôt, c’est le rançongiciel, um, et c’est essentiellement là qu’un auteur de menace déploiera un logiciel malveillant sur les systèmes de quelqu’un, um, et cela signifie simplement qu’il devient inaccessible. Et ils offriront à l’entreprise une clé de déchiffrement en échange d’une rançon. Cela s’ajoute souvent au vol de leurs données.
Ils s’en servent ensuite comme d’une double technique d’extorsion. A part les logiciels malveillants, euh, les ransomwares, désolé. L’hameçonnage et l’ingénierie sociale sont des problèmes importants qui persistent. Et comme je l’ai mentionné pour l’IA, je pense que ces technologies deviennent encore plus sophistiquées. Et l’une des grandes choses que j’ai trouvées vraiment intéressantes, c’est qu’il y a eu une augmentation des publicités pour les courtiers en accès. Donc, il y a des gens qui vont simplement, um, essayer de trouver comment entrer dans votre système, mais ils ne font rien avec cela si ce n’est qu’ils vendent cette information sur le marché noir à des gens qui l’achèteront. Et ce sont eux qui, en fin de compte, mènent les activités malveillantes dans vos systèmes.
C’est donc une évolution intéressante des dernières années.
Leah Tolton: [00:07:06] Je n’en avais pas entendu parler. Il est intéressant de constater que des gens font commerce de la vente de vos informations à des personnes qui vont abuser de votre activité.
Suzie Suliman: [00:07:13] Exactement. Les attaques deviennent donc de plus en plus sophistiquées, et nous devons simplement continuer à changer nos approches pour suivre le rythme de ce paysage.
Leah Tolton: [00:07:21] Mm hmm. Donc, vous savez, étant donné le genre d’organisation que j’ai décrit comme une entreprise familiale, pourquoi ce genre d’organisation, d’entreprises familiales et de bureaux de gestion de patrimoine, vous savez, peut organiser beaucoup de choses pour l’entreprise familiale et la famille. Pourquoi sont-elles des cibles particulièrement attrayantes pour les cyberattaques?
Suzie Suliman: [00:07:41] Oui, ils sont devenus des cibles très attrayantes pour les cyberattaques en raison des avantages uniques qu’ils procurent. Donc, comme vous l’avez mentionné, il peut s’agir d’un ensemble d’entreprises différentes qui sont liées entre elles. Donc, si un auteur de menace peut avoir accès à une entreprise familiale, non seulement il peut profiter d’une entreprise, mais il peut aussi profiter d’un ensemble d’entreprises ou de personnes qui se cachent derrière. Il s’agit donc d’un avantage unique pour les acteurs de la menace. Malheureusement, il y a aussi un lien entre les gens qui exploitent les entreprises familiales et les entreprises elles-mêmes. Il est donc plus facile pour les auteurs de menace de mener des activités d’ingénierie sociale et d’autres types d’attaques semblables, étant donné, vous savez, les médias sociaux et toute l’information disponible sur Internet, car ils ont plus d’information à utiliser qui semble réaliste.
Ensuite, les entreprises et les bureaux familiaux ont toujours accordé la priorité à l’efficacité plutôt qu’à la cybersécurité. De façon générale, je pense que, du point de vue d’un auteur de menace, il a tendance à se tourner vers les organisations qui ont suffisamment d’actifs ou de valeur pour lui. [...] pour que leurs efforts soient utiles, mais aussi pour qu’ils ne soient pas les plus sophistiqués sur le plan de la cybersécurité, afin qu’ils aient une chance d’y accéder et d’en tirer un avantage, ce qui tend à correspondre, vous savez, à la dynamique du bureau de gestion familiale de l’entreprise familiale.
Leah Tolton: [00:09:01] D’accord. Cela soulève donc un point intéressant. Vous avez parlé de la priorité accordée à l’efficacité plutôt qu’à la cybersécurité. Vous savez, est-ce l’une des lacunes les plus courantes que vous constatez dans les pratiques de cybersécurité ou y en a-t-il d’autres?
Suzie Suliman: [00:09:16] Bien sûr. C’est certainement l’un des plus importants.
Je pense, um, vous savez, que beaucoup d’organisations ont tendance à considérer la cybersécurité comme un défi, plutôt que comme un avantage pour leur organisation, parce que cela ajoute des couches ou des mesures supplémentaires qu’elles doivent prendre. Je pense qu’il y a aussi le manque de formation continue, le manque de compréhension du contexte actuel, le fait de rester au courant de ce qui se passe dans l’industrie et de transmettre ces connaissances à vos utilisateurs. Donc, en vous assurant que vos utilisateurs sont au courant de ce qui se passe et qu’ils sont continuellement formés, et que c’est votre priorité pour tout le monde, puis les risques liés aux tiers, je pense que cela devient un enjeu important où les gens avec qui vous faites affaire, qu’il s’agisse de vos fournisseurs ou, vous savez, d’autres personnes qui peuvent vous connecter à votre réseau, um, peuvent vous fournir d’autres vulnérabilités également.
Vous devez donc toujours en être conscient dans vos contrats et dans votre diligence raisonnable lorsque vous intégrez des tiers.
Leah Tolton: [00:10:08] Vous avez parlé de formation continue. Vous avez parlé de veiller à ce que vos fournisseurs tiers s’engagent à assurer la sécurité des données que vous leur fournissez.
Il me semble que certains facteurs humains, certaines vulnérabilités humaines entrent en ligne de compte. Donc, que peuvent faire les entreprises pour atténuer cette vulnérabilité humaine, ce risque humain dans le système?
Suzie Suliman: [00:10:34] Certainement. Je pense que les facteurs humains sont l’un des principaux facteurs de risque pour votre organisation.
Donc, um, je vais parler de la formation et de la création de cette culture de sensibilisation, où les gens réfléchissent à deux fois avant de cliquer sur un lien ou de vérifier des choses avant de fournir de l’information à des personnes dont ils ne s’attendent pas à obtenir de l’information, des choses comme ça. Les personnes peuvent avoir une mauvaise cyberhygiène. L’utilisation de mots de passe faibles ou, vous savez, du même mot de passe pour les comptes personnels et les comptes d’entreprise est aussi un problème important.
Donc, tout ce qui peut mener à des risques pour les entreprises et à des façons d’atténuer ces risques, comme je l’ai dit, et ce sera un thème récurrent, c’est simplement la formation de votre personnel sur la bonne cyberhygiène. Donc, répétez-le régulièrement et assurez-vous que ce n’est pas seulement au moment de l’embauche, mais peut-être aussi, à intervalles réguliers, en menant des expéditions d’hameçonnage et en créant simplement cette culture de sensibilisation à la cybersécurité, en faisant en sorte que la formation soit appropriée pour le rôle de la personne, vous savez, est également important.
Et je pense qu’une chose qui rend les gens plus responsables de leur propre cyberhygiène est d’intégrer la sensibilisation et la formation à la cybersécurité dans, um, vous savez, les examens annuels et la rémunération. Je pense que c’est une façon assez efficace d’atténuer l’aspect humain de ces risques et de mettre en œuvre, vous savez, des politiques de sécurité qui exigent que les gens aient certaines exigences concernant leurs mots de passe ou leur hygiène de courriel et la façon dont ils sont autorisés à utiliser leurs propres appareils.
Quels types d’utilisation sont acceptables ou non. Tout cela contribue également à atténuer ces facteurs de risque pour les humains. Un autre point qu’il est très important de souligner, à mon avis, est le fait de limiter l’accès, donc de ne pas donner à tout le monde un accès illimité à toutes les données. Donc, le fait de s’assurer que seules les personnes qui ont besoin d’avoir accès aux données ont cet accès contribue également à atténuer les risques.
Leah Tolton: [00:12:33] Très bien. Il y a donc beaucoup de matière à réflexion et beaucoup de points faibles potentiels, si je peux m’exprimer ainsi, et il y a des choses auxquelles vous devez réfléchir pour couvrir chacun de ces points. Alors, pour ce qui est des conséquences juridiques de cette situation, quelles sont, d’un point de vue juridique, les principales responsabilités auxquelles les entreprises familiales sont confrontées si elles sont victimes d’une cyberattaque?
Suzie Suliman: [00:12:59] Oui, je veux dire, beaucoup de responsabilités auxquelles ils peuvent faire face, mais les plus importantes sont vraiment, vous savez, les pertes financières, que ce soit à cause de la fraude, du paiement d’une rançon, de la nécessité de se rétablir d’un incident, vous pouvez devoir intégrer, vous savez, des experts judiciaires ou juridiques et d’autres ressources que vous pourriez devoir embaucher pour vous aider.
Récupérer à la suite d’un incident, vous assurer de respecter vos obligations juridiques, l’interruption des activités ou même la pression sur vos ressources d’entreprise, peut avoir des répercussions financières sur les entreprises familiales. D’autres ont tendance à être, vous savez, des accès non autorisés à des renseignements commerciaux sensibles ou exclusifs. Si quelqu’un accède à vos secrets commerciaux, à votre propriété intellectuelle importante ou à votre propriété intellectuelle confidentielle, vous risquez de perdre des avantages commerciaux.
Et si les gens ont accès à des renseignements personnels, qu’il s’agisse de renseignements personnels sur les employés ou de renseignements sur les clients, vous savez, vous pourriez avoir des obligations réglementaires d’aviser ces personnes ou l’organisme de réglementation de la protection de la vie privée. Cela pourrait vous exposer à une atteinte à votre réputation, à des enquêtes réglementaires ou même à des recours collectifs.
Leah Tolton: [00:14:02] Wow. Je suppose que c’est logique compte tenu du nombre d’intrants qui, vous le savez, soutiennent l’entreprise dans son ensemble, du nombre d’intervenants et du nombre de mesures que vous devez prendre pour essayer de vous protéger contre la vulnérabilité de chacun de ces intervenants.
Vous avez mentionné plus tôt dans notre conversation qu’il faut s’assurer que les contrats conclus avec quiconque fournit des services exigent que les sous-traitants emploient des cyberprotecteurs.
Comment négociez-vous cela? S’agit-il d’une norme industrielle aujourd’hui? Y a-t-il des politiques que vous élaborez, que vous pointez du doigt et auxquelles vous dites que vous devez vous conformer? À quoi cela ressemble-t-il lorsque vous envisagez ces contrats?
Suzie Suliman: [00:14:47] Oui, je veux dire qu’au Canada, il n’est pas devenu général, sauf dans la province de Québec, de mettre en place des accords sur le traitement des données, bien que ce soit une meilleure pratique et que ce soit fortement recommandé.
Ainsi, chaque fois que vous accueillerez des fournisseurs qui pourraient avoir accès à des renseignements sensibles, vous voudrez vous assurer qu’ils sont tenus de respecter les lois applicables en matière de protection des renseignements personnels, qu’ils ont mis en place des mécanismes de sécurité appropriés et que, en cas d’incident, ils vous en informeront et vous aideront peut-être à récupérer les renseignements appropriés. Vous savez, vous voulez leur imposer ces obligations pour vous assurer qu’ils prennent les mêmes mesures pour protéger vos renseignements que vous prendriez avec les vôtres. Il est également important, dans ces contrats, d’examiner des éléments comme les indemnités, les limites de responsabilité, les exigences en matière d’assurance, la gestion de ce risque et, um, le risque financier.
Donc, non seulement il faut s’assurer dès le départ qu’ils prennent les mesures appropriées pour protéger vos renseignements. Mais aussi, vous savez, si le pire scénario se produit, à quoi ressemble cette exposition au risque? Et comment partageons-nous ce fardeau financier entre nous? Je pense que ce sont toutes des choses très importantes et qu’il est de plus en plus courant, vraiment avec les fournisseurs, d’avoir ces discussions et de s’assurer que c’est le cas.
Vous savez, ce genre de conditions sont incorporées dans les ententes, au besoin, et même dans les ententes antérieures. Vous avez peut-être des relations à long terme avec les fournisseurs, mais vous savez qu’il est très important de revoir ces ententes et de vous assurer d’être bien protégé.
Leah Tolton: [00:16:18] Vous venez de soulever un point sur lequel j’allais vous interroger, à savoir, vous savez, lorsque vous êtes au milieu de votre travail quotidien et que vous devez obtenir un service immédiatement ou que quelqu’un vous a mis sous pression parce que quelque chose doit être accompli dans un certain délai, il me semble que les personnes soumises à ce genre de pressions et de délais seraient probablement moins enclines à lire attentivement tous ces termes.
Je pense donc que ce que vous suggérez ici, c’est que les gens devraient avoir une, euh, une ressource dans leur propre monde, dans leur propre personnel qui peut, vous savez, prêter attention aux choses que vous avez énumérées, ou qu’ils devraient obtenir un conseil juridique avant de signer ces choses. Suis-je sur la bonne voie?
Suzie Suliman: [00:16:58] Certainement. Je pense que ce sont des choses vraiment importantes à avoir de votre côté, surtout lorsque l’urgence est un facteur.
Leah Tolton: [00:17:04] Donc, vous savez, nous avons déjà parlé un peu de certaines des stratégies de protection et de l’une d’entre elles, que vous recommanderiez, l’une d’elles étant de porter une attention particulière aux modalités contractuelles, l’autre étant de prêter attention aux facteurs humains et de créer une culture de formation et de sensibilisation à la cybersécurité.
Y a-t-il d’autres exemples de stratégies qu’une entreprise familiale pourrait adopter pour améliorer sa cybersécurité?
Suzie Suliman: [00:17:25] Euh, oui, bien sûr. Je veux dire que nous avons, oui, parlé de beaucoup de choses importantes. La formation, les politiques et les pratiques, qui créent cette culture de sensibilisation à la cybersécurité. Tous ces éléments sont très importants.
Je pense qu’une autre solution consiste à identifier, vous savez, vos joyaux les plus importants. Donc, vous dites, et comme, quels sont les actifs de données les plus importants que vous avez et les priorisez, um, assurez-vous de cela. Vous avez mis en place des mesures de cybersécurité appropriées en fonction de la sensibilité de l’information, vous savez, c’est cet équilibre entre l’efficacité et la cybersécurité.
Donc, vous savez, peut-être que vous avez des mesures de cybersécurité plus strictes sur vos actifs les plus importants et moins sur tout. des informations moins sensibles. C’est peut-être un moyen d’équilibrer ces deux éléments. Et revenons au genre de politiques et de pratiques appropriées en place. Je pense qu’il est très important de s’assurer que vous êtes dans une bonne position, euh, dans une bonne place de ce point de vue.
Donc, vous savez, avoir des politiques appropriées en matière de mots de passe, de sauvegarde et d’intervention en cas d’incident. De nos jours, beaucoup d’employés travaillent à domicile. Donc, vous savez, avec une politique de télétravail, quelle est l’utilisation acceptable? Pouvez-vous apporter vos propres appareils? L’IA est un enjeu important, vous savez, comment utiliser l’IA ou quelle est la position de l’organisation sur l’IA est également importante.
Leah Tolton: [00:18:40] Mm hmm. Vous avez donc soulevé un point que j’aimerais approfondir un peu plus. Supposons que le pire se produise et que nous ayons un incident. Vous savez, quelqu’un fait une brèche, quelqu’un, euh, bloque le système, demande une rançon, vous savez, ils ont accès à vos données, vous découvrez qu’elles sont utilisées à mauvais escient.
Décrivez-moi ce qu’est un plan d’intervention en cas d’incident et comment il pourrait répondre à ce genre de scénario.
Suzie Suliman: [00:19:03] Oui, bien sûr. Donc, un fonds d’intervention en cas d’incident établira essentiellement, vous savez, différents niveaux d’incidents parce que les incidents ne sont pas tous les mêmes et qu’ils n’exigent pas tous le même type d’intervention.
Il peut s’agir d’un simple courriel contenant les renseignements personnels d’une personne à la mauvaise personne, ou d’une attaque aussi importante qu’un rançongiciel qui a des répercussions sur tous les aspects de l’entreprise. Comme vous pouvez l’imaginer, la façon dont vous réagissez à ces deux scénarios différents exige des ressources et des choses différentes.
Donc, votre plan d’intervention en cas d’incident classerait par catégories, vous savez, les types d’incidents que votre entreprise est susceptible de subir et, um, vous savez, comment vous devez intervenir dans chaque cas, à quel niveau vous soumettriez-vous, um, il établirait qui est responsable de différentes choses. Vous devez donc réfléchir à qui est responsable de prendre les décisions juridiques, qui est responsable de prendre les décisions techniques et de sécurité qui, vous le savez, peuvent communiquer à l’interne ou à l’externe. Vous voudrez peut-être inclure vos fournisseurs, n’est-ce pas? Qui sont vos amis et fournisseurs préférés? Qui est votre cyber-assureur si vous en avez un? Vous savez, à quel moment communiquez-vous avec ces gens pour les faire participer? Le plan d’intervention en cas de cyberincident vise essentiellement à vous assurer que vous êtes prêt à intervenir en cas d’incident et que vous le faites de la façon la plus efficace possible.
Et que vous minimisez le risque d’atteinte à l’exploitation, aux finances et à la réputation. Il s’agit donc d’un outil très important. Et l’autre chose que je dirai à ce sujet, c’est qu’il est également très important d’avoir non seulement une copie numérique, mais aussi une copie physique de cela. Parce que si vous êtes victime d’une attaque par rançongiciel qui vous empêche d’accéder à vos systèmes, vous voulez pouvoir les avoir facilement accessibles, vous savez, si vous en avez besoin.
Leah Tolton: [00:20:42] C’est exact. Vous n’avez pas mentionné dans cette conversation des choses sur lesquelles on nous pose des questions à répétition sur diverses plateformes, des choses comme, vous savez, l’authentification multifactorielle ou les revendications ou exigences relatives au chiffrement des données. Où se situent-ils dans ces stratégies? Est-ce que c’est une partie granulaire? Est-ce qu’ils en sont une partie distincte? Comment s’intègrent-elles?
Suzie Suliman: [00:21:06] Oui, ils font certainement partie de la stratégie. Je pense que vous le savez peut-être, alors les bureaux de gestion de patrimoine ou vraiment toute entreprise devraient utiliser des mesures physiques, technologiques et organisationnelles pour protéger leurs actifs de données. Et ces mesures doivent être cohérentes. Comme je l’ai dit plus tôt, compte tenu de la nature délicate de ces renseignements, l’AMF et le chiffrement des données sont les deux mesures technologiques les plus courantes que les organisations utilisent pour protéger leurs données.
Je pense qu’ils sont, vous savez, très faciles à mettre en œuvre. Elles offrent une protection très solide, car si un auteur de menace accède à vos systèmes, à votre courriel ou à quoi que ce soit d’autre,. Ces choses font en sorte qu’il est plus difficile pour eux d’entrer, alors c’est un mécanisme de défense très important. Ensuite, il faut aussi penser à l’organisation et à ses mesures physiques. Donc, vos mesures physiques pourraient consister, vous savez, à verrouiller des documents papier dans une pièce où seules certaines personnes y ont accès, et vos mesures organisationnelles, vous savez, ressembleront à vos politiques et à des choses comme cela, vous savez, quel genre d’information peut être communiquée par courriel, et ce qui ne peut pas, et des choses comme ça.
À quel moment supprimez-vous des renseignements et tout cela?. Tout cela fonctionne donc ensemble pour vous protéger des cyberincidents.
Leah Tolton: [00:22:15] D’accord, alors là, il y a beaucoup de matière à réflexion. Il y a beaucoup de choses à prévoir. Passons maintenant de stratégies précises ou même générales à la discussion des prochaines étapes. Si, si nous, si quelqu’un écoute cet épisode et se dit, wow, c’est, il y a beaucoup d’éléments en mouvement. Il y a beaucoup d’informations. Il y a beaucoup de choses à penser. Il y a beaucoup de choses à classer par ordre de priorité. Et ils commencent tout juste à y réfléchir sérieusement et se sentent dépassés par cela. Quelles sont les premières questions qu’ils devraient poser à leurs fournisseurs de TI, à leurs conseillers, à qui qu’ils s’adressent pour obtenir des conseils à ce sujet?. Par où devraient-ils commencer?
Suzie Suliman: [00:22:53] Oui, je pense que l’une des choses les plus importantes est de commencer par une évaluation. Vous savez, qu’est-ce que c’est que ça? Mon entreprise ou mon organisation? Quels sont mes plus grands risques? Qu’est-ce qui me nuirait vraiment si cela m’arrivait? Je pense qu’il est vraiment important de commencer par cette optique.
Quel genre de mesures avons-nous actuellement en place pour protéger l’information? Sommes-nous à l’affût des menaces? Respectons-nous les lois sur la protection des renseignements personnels? Qu’arrive-t-il en cas d’atteinte? Avons-nous des mesures d’atténuation, qu’il s’agisse d’assurances, d’exigences contractuelles avec nos fournisseurs, de choses comme cela, de comprendre, vous savez, quel est votre risque financier, et vous ou vos fournisseurs avez connu des incidents de sécurité par le passé?.
Comment ont-ils été corrigés et qu’avez-vous appris de ces expériences?
Leah Tolton: [00:23:45] Je me demande, vous savez, lorsque nous parlons de l’entreprise familiale, et nous parlons des gens, j’ai dit que les gens font partie de l’entreprise, et lorsque nous parlons de l’entreprise familiale, nous pourrions faire affaire avec plusieurs générations de personnes, n’est-ce pas?
Nous pourrions avoir plus d’une génération de propriétaires. Il y a peut-être plus d’une génération de membres de ma famille qui participent ou non à l’entreprise. Comment la prochaine génération de membres de la famille, les gens qui viennent après ceux qui exploitent l’entreprise ou qui sont des leaders dans la famille maintenant, peuvent-ils jouer un rôle dans l’avancement de la cybersécurité au sein de leurs entreprises familiales?
Suzie Suliman: [00:24:23] Oui, je pense que la prochaine génération est particulièrement bien placée pour promouvoir l’adoption de pratiques de cybersécurité et améliorer ces mesures à l’avenir. Je pense, um, vous savez, les gens qui ont grandi au sein de la famille, ils ont une compréhension très profonde de l’entreprise, de ses actifs de données les plus importants, de ce dont l’entreprise ne peut absolument pas fonctionner sans, et ils sont donc en mesure de prendre des décisions plus éclairées, en quelque sorte, sur l’endroit où affecter les ressources et sur la façon de s’adapter au paysage changeant.
Ils peuvent soutenir des budgets consacrés à la cybersécurité et faire la promotion d’une cyberhygiène adéquate et simplement favoriser cette culture de cybersécurité d’en haut.
Leah Tolton: [00:25:03] Et donc, d’après votre expérience, est-ce que c’était le niveau de compréhension ou de participation aux questions cybernétiques qui était différent d’une génération à l’autre au sein de l’entreprise familiale?
Suzie Suliman: [00:25:15] Je pense que c’est possible. Je pense que c’est, c’est, euh, quelque chose qui se développe de plus en plus ces dernières années. Je pense que les jeunes générations ont tendance à être un peu plus conscientes de ces problèmes ou à les connaître, mais il est certain qu’ils augmentent.
Leah Tolton: [00:25:29] Oui, donc c’est plus, il y a une plus grande sensibilisation générale qu’il n’y en a peut-être au sein de ma propre famille où je fais appel à mes enfants pour du soutien technique. Vous savez, vous avez mentionné un nouveau défi plus tôt dans notre conversation au sujet, euh, vous savez, des gens qui scrutent maintenant le paysage à la recherche de zones potentielles de vulnérabilité et qui vendent cette information.
Quels autres défis émergents les entreprises familiales devraient-elles commencer à relever dès maintenant?
Suzie Suliman: [00:25:53] Oui, je pense, les nouveaux défis sont déjà là, um, comme je l’ai mentionné avec ces courtiers d’accès, mais ils deviennent simplement plus sophistiqués et plus forts. L’IA est donc un autre défi, ce que j’appellerais un défi émergent.
Il aide les acteurs de la menace à devenir plus rapides, plus intelligents et plus efficaces. Et il est important de comprendre comment l’IA peut avoir une incidence sur des choses comme l’ingénierie sociale et comment ce genre d’indices, um, e. Je pense que je travaille dans les deux sens, mais cela peut aussi servir à améliorer les outils défensifs, ce qui est pour notre mieux.
Mais l’autre chose qui est vraiment importante, selon moi, c’est que, à l’ère numérique où nous vivons, il est très facile de communiquer de l’information sur de très vastes plateformes. Je pense que l’intelligence artificielle est risquée dans les deux sens, parce qu’elle pourrait aussi servir à améliorer les outils défensifs, ce qui est préférable pour nous. Mais l’autre chose qui est vraiment importante, selon moi, c’est que, à l’ère numérique où nous vivons, il est très facile de communiquer de l’information sur de très vastes plateformes.
Le risque d’atteinte à la réputation et l’importance de la gestion de votre marque sont encore plus apparents et le risque d’atteinte à la réputation et l’importance de la gestion de votre marque sont encore plus apparents et, euh, plus importants qu’ils ne l’étaient auparavant. Je pense que si vous subissez une cyberattaque, elle pourrait faire la une des journaux dans les heures qui suivent, contrairement à ce que nous avions l’habitude de voir auparavant, où elle passait en quelque sorte sous le radar.
Leah Tolton: [00:27:09] C’est exact. Donc, vous savez, compte tenu de la rapidité avec laquelle les dommages pourraient être causés et de la mesure dans laquelle l’information pourrait être partagée, quelles ressources ou quels outils recommanderiez-vous aux auditeurs qui veulent en savoir plus ou faire leurs premiers pas vers une stratégie de cybersécurité robuste?
Suzie Suliman: [00:27:29] Oui, je crois qu’une ressource très importante que vous devriez utiliser est vos conseillers professionnels, qu’il s’agisse, vous savez, de vos conseillers juridiques, de votre expertise en TI ou autre expertise technique et de vos conseillers en assurance.
C’est ce que je pense. Ils peuvent tous vous aider à mieux vous préparer à faire face à ces incidents, à comprendre vos vulnérabilités et à y réagir. Je pense qu’il est également important de lire les nouvelles ou d’autres publications pour comprendre l’état actuel de l’industrie. De nombreuses sociétés d’expertise judiciaire publient des rapports sur ce qui s’est passé au cours de l’année écoulée.
Que voyons-nous? Je pense que le fait de comprendre où se trouvent les plus grands risques vous aidera à prendre ces décisions et à réagir à ces risques. Et aussi, euh, les programmes de certification de la sécurité. Ils peuvent également constituer une ressource utile. Vous comprenez donc, vous savez, où nous devons être pour avoir des mesures de sécurité appropriées.
Leah Tolton: [00:28:17] Pour résumer, je pense que ce que vous avez dit ici, c’est qu’il est vraiment important pour les entreprises familiales de commencer par une vue d’ensemble. Vous savez, quels sont les éléments d’information généraux que nous avons ou les idées que nous voulons protéger ou les renseignements personnels que nous ne voulons pas divulguer, quelles sont les choses vraiment importantes, et ensuite, quelles sont les ressources vraiment appropriées ou adaptées qui sont disponibles et qui seraient utiles.
Il faut réagir ou protéger ces ressources particulières et vraiment élaborer un plan d’action qui commence par les priorités et qui fonctionne à partir de là. C’est probablement difficile, compte tenu de tous les éléments en jeu, les deux éléments — les éléments commerciaux, les éléments familiaux, les éléments personnels —, de régler tous les problèmes en même temps. Mais en réalité, il semble que vous recommandiez un plan d’établissement des priorités, à la fois pour évaluer les risques et décider des ressources à utiliser. Ai-je bien compris?
Suzie Suliman: [00:29:09] Absolument. Je pense que si vous pouvez le diviser en morceaux digestes, c’est, c’est certainement, vous savez, cela vous rapproche un peu plus et je pense, oui, c’est très accablant d’essayer de tout faire en même temps, c’est sûr.
Leah Tolton: [00:29:20] Oui. Et, comme je le dis souvent aux gens au sujet d’autres aspects de leur planification, qu’il s’agisse de la planification de la relève ou de la planification d’entreprise, n’attendez pas que le moment soit parfait.
Vous savez, la perfection est l’ennemi du bien. Vous n’avez qu’à commencer, n’est-ce pas? Décidez de ce qui est le plus important et commencez à travailler là-dessus, et vous pourrez toujours bâtir à partir de là.
Suzie Suliman: [00:29:40] Absolument. Oui, c’est bien cela.
Leah Tolton: [00:29:42] Great. Cette conversation a été très intéressante, Suzie. Merci beaucoup de votre temps et d’avoir partagé votre sagesse avec nos auditeurs sur Au-delà de la relève.
Y a-t-il un dernier commentaire que vous aimeriez faire à l’intention de notre auditoire avant que nous cédions la séance?
Suzie Suliman: [00:29:53] Merci beaucoup de m’avoir invitée. Je pense que ce qu’il faut retenir, c’est que l’efficacité opérationnelle et la sécurité vont de pair. L’un ne va pas sans l’autre. Hum, et donc oui, comme nous l’avons dit, prenez-le en morceaux digestes et, et commencez.
Leah Tolton: [00:30:07] Merci de vous joindre à moi pour cet épisode de Beyond Succession, une série dans le podcast de Bennett Jones Business Law Talks. Assurez-vous d’appuyer sur le bouton suivant sur la plateforme d’où vous écoutez afin d’être informé chaque fois que nous lançons de nouveaux épisodes. N’hésitez pas non plus à communiquer avec nous si vous avez des questions au sujet des défis ou des problèmes auxquels vous êtes confrontés dans votre entreprise familiale.
Prenez soin de vous. Je vous donne rendez-vous au prochain épisode.
Traduction alimentée par l’IA.
Veuillez noter que cette publication présente un aperçu des tendances juridiques notables et des mises à jour connexes. Elle est fournie à titre informatif seulement et ne saurait remplacer un conseil juridique personnalisé. Si vous avez besoin de conseils adaptés à votre propre situation, veuillez communiquer avec l’un des auteurs pour savoir comment nous pouvons vous aider à gérer vos besoins juridiques.
Pour obtenir l’autorisation de republier la présente publication ou toute autre publication, veuillez communiquer avec Amrita Kochhar à kochhara@bennettjones.com.
Bennett Jones