(Photo: 123RF)
CYBERSÉCURITÉ. Il est rare qu’un encadrement réglementaire plus strict de la part de l’État plaise à une industrie. Pourtant, c’est le cas de la Loi 25 qui impose des obligations à toutes les entreprises québécoises en matière de protection des renseignements personnels.
Cette législation, dont le premier volet est entré en vigueur en septembre et dont deux autres pans seront mis en place dans les deux prochaines années, a été bien accueillie dans le domaine de la cybersécurité.
« C’est positif, affirme Emeline Manson, dont l’entreprise, CY-clic, offre des formations à la cybersécurité. C’est une belle porte d’entrée pour donner des conseils. Cela nous permet de parler à des gens qui n’étaient pas nécessairement motivés par ce sujet. »
La qualifiant de « bonne loi », le président de la PME de cybersécurité Mondata, Martin Berthiaume souligne que ce « gros changement » sensibilise surtout les dirigeants. « Cela leur rappelle qu’ils sont imputables, affirme-t-il. Avant, la cybersécurité était vue comme une affaire de technicien. »
Parmi les nouvelles obligations prévues, les entreprises doivent désigner une personne responsable de la protection des renseignements personnels et publier son titre et ses coordonnées sur son site Internet. Un registre de tous les incidents doit aussi être tenu.
Évidemment, ce resserrement législatif est un signal que les entreprises doivent se soucier de leur sécurité informatique. « Cette loi alimente le marché de la cybersécurité », constate Régis Desmeules, conseiller stratégique à la direction du Groupe Cyberswat.
Emeline Manson, CY-clic. (Photo: courtoisie)
Avantage concurrentiel
Frédéric Cuppens, professeur titulaire au Département de génie informatique et génie logiciel de Polytechnique Montréal, souligne que la Loi 25 imite ce qui se fait déjà en Europe. Il note qu’outre-Atlantique « l’approche est très régalienne », contrairement à l’Amérique du Nord où la mise en place de standards précis de bonnes pratiques prévaut, sans toutefois être contraignant pour les entreprises.
La Loi 25 constitue en quelque sorte un changement de cap qui permet au Québec de prendre de l’avance par rapport au reste du Canada et des États-Unis. « Cela force les entreprises à mieux gérer leurs données et en fin de compte cela les rendra plus efficaces dans ce domaine, estime Jean Le Bouthillier, président fondateur de Qohash, une PME de Québec qui commercialise un outil pour faire l’inventaire des données personnelles. Cela créera des dépenses pérennes qui devraient accélérer le développement de solutions québécoises. »
Il anticipe ainsi des lois similaires au fédéral et dans les autres provinces. « Je crois que des acteurs du Québec joueront un rôle central pour les conseiller et les équiper, déclare-t-il. Le Québec est devenu un leader avec la mise en place de la Loi 25. »
Cette loi contribue aussi à stimuler d’autres professions et secteurs, comme le droit de la cybersécurité. « On voit sous nos yeux le développement d’un nouveau domaine du droit », mentionne Jean-François Latreille, avocat spécialisé dans cette branche.
Il identifie quatre risques associés aux cyberincidents, dont deux sont liés au cadre juridique : 1 – Risque opérationnel et financier ; 2 – Risque à la réputation ; 3 – Risque de poursuite (recours de la part de clients dont les données ont mal été sécurisées ou d’investisseurs qui ont perdu confiance) ; 4 – Risque lié à la conformité des lois (donc d’écoper de sanctions pénales).
Des projets de loi à Ottawa, comme celui déposé l’an dernier par le ministre de la Sécurité publique, accroîtront également les normes réglementaires. Le projet de loi C-26 prévoit notamment l’imposition d’obligations en matière de cybersécurité aux organisations évoluant dans quatre secteurs clés sous autorité fédérale : les télécommunications, les finances, l’énergie et le transport.
À quand une zone d’innovation ?
Un cadre réglementaire adéquat reste toutefois insuffisant pour stimuler l’industrie de la cybersécurité au Québec. La création d’une zone d’innovation est souhaitée par les acteurs de ce domaine. Deux propositions ont déjà été soumises au ministère de l’Économie et de l’Innovation du Québec. Une à Gatineau et une autre dans la région de Montréal, mais la réponse du gouvernement se fait attendre. Cybereco, une organisation québécoise qui regroupe les acteurs privés et publics du milieu, est derrière l’initiative montréalaise.
« Notre projet vise à structurer l’innovation en cybersécurité, afin de mieux la développer, explique son président, Marcel Labelle. On travaille avec différents acteurs comme des incubateurs et des accélérateurs, ainsi qu’avec des gens de la finance pour favoriser la création de solutions d’ici. On est ouverts à voir cette zone être dotée d’une organisation à deux têtes avec Gatineau. L’important, c’est que cela se fasse dans une formule qui plaise à tous. »
Selon Martin Berthiaume, l’apparition de cette zone d’innovation pourrait servir de tremplin comme dans l’industrie du jeu vidéo, devenue florissante au Québec. « Cela permettra de soutenir ceux qui font de l’innovation et qui peuvent la commercialiser, tout en facilitant les relations avec le secteur financier qui va ainsi mieux comprendre qui fait quoi. »