ALMA – L’entrée en vigueur en septembre 2022 de la Loi 25 modernisant les dispositions législatives en matière de protection des renseignements personnels, vise à responsabiliser davantage les entreprises en cas de fuites de données.
Le virage numérique en entreprise est un processus en cours depuis une vingtaine d’années qui touche l’ensemble des activités d’une PME, de sa manière de communiquer en passant par la promotion de ses services et la gestion de sa main-d’œuvre. De l’entrepreneur en construction à la firme qui développe des progiciels de comptabilité, tous utilisent un ou plusieurs outils informatiques pour optimiser ses opérations. Si ces « aides » étaient jusqu’à tout récemment sous forme de logiciel installé sur un ordinateur, ils sont aujourd’hui installés sur un serveur hors entreprise et accessible grâce à une connexion Internet. Les systèmes de type Intranet comme SharePoint de Microsoft et plusieurs autres offrent de multiples avantages comme un lieu où l’ensemble des connaissances, des fichiers et des informations peuvent être stockés et consultés par les employés d’une entreprise. Toutefois, cela apporte un point négatif majeur : l’augmentation des fuites de données et autres types de cyberattaques.
Lors d’une conférence réalisée par la firme Millenium Micro au Colab du 28 septembre au 1er octobre dernier, les chiffres avancés concernant la cybercriminalité sont éloquents : augmentation de 30 % des attaques de janvier à avril 2020, trois fois plus d’attaques de type rançongiciel. En moyenne, une entreprise subit 27 % de son chiffre d’affaires en perte à la suite d’une attaque informatique et pour le premier trimestre de 2022, il y a eu plus d’attaques de rançongiciel que durant toute l’année 2021.
L’heure est à l’imputabilité
Face à la problématique, le gouvernement du Québec a décidé d’être proactif en matière de cybersécurité en adoptant la Loi 25. Une nouvelle réglementation permettant, entre autres, aux particuliers d’imputer la responsabilité d’un vol d’information à une personne ou une entreprise ayant été négligente. « Dorénavant une entreprise à l’obligation de rapporter à la Commission d’accès à l’information (CAI) toutes fuites ou incidents mettant en péril la confidentialité de données personnelles. De plus, elle doit nommer une personne dans l’organisation chargée de la protection des renseignements personnels, par défaut ça sera la personne ayant le plus haut niveau d’autorité. Finalement, une société doit avoir un plan pour gérer les incidents de confidentialité. Autrement dit, à la suite d’un piratage, il y a une personne imputable qui devra prendre la responsabilité de dédommager les victimes. De là, l’importance vitale pour les entreprises de revoir leur système de sécurité et de parer les coups en prenant une assurance spécialisée », explique Stéphanie Munger, directrice adjointe chez BGM Informatique.
L’éducation c’est la clé
Il est démontré qu’au sein d’une organisation les attaques proviennent souvent de la boite de courriel. Un message d’apparence normal est ouvert par inadvertance par un ou une employée et cela a pour conséquence de créer une brèche dans les systèmes de sécurités. Un pirate ou un logiciel peut alors exploiter cette faille et causer des dommages.
« L’éducation et un partenaire technologique sont deux solutions à envisager. L’éducation, parce qu’il est important que tous les travailleurs d’une entreprise soient conscientisés au phénomène et qu’ils aient en leur possession les outils pour reconnaitre et identifier les comportements à risque sur Internet. Un partenaire technologique va aider le gestionnaire d’entreprise à monter un plan en cas d’attaque et travailler en amont pour évaluer le niveau de sécurité. En effet, des firmes spécialisées, comme la nôtre, sont en mesure de produire des audits pour vérifier qu’une PME est en règle avec les normes en matière de cybersécurité […] Il est difficile de mettre le doigt sur un montant précis à investir afin de bien protéger sa compagnie, mais le budget réservé pour la portion TI devrait se situer de 5 % à 20 % du chiffre d’affaires », souligne Mme Munger.
Enfin, la directrice adjointe chez BGM informatique insiste sur l’importance de mettre à jour constamment ses logiciels et d’utiliser des systèmes de type multi-factor authentification (MFA) qui sont pour l’heure des outils efficaces pour vérifier l’identité des personnes qui demandent un accès à de l’information pouvant être sensible.