[Photo : Shutterstock]

L'utilisation des données massives (big data) offre des occasions d'affaires, mais expose aussi les entreprises québécoises à de nouveaux risques. Néanmoins, plusieurs d'entre elles restent vulnérables aux attaques et sont mal préparées à en gérer les conséquences.

Tout n'est pas permis en matière de cueillette et d'utilisation de données. Une entreprise doit donc savoir quelles données elle peut collecter, à quelles fins, et ce qu'elle doit divulguer à ses clients. D'autant plus qu'une nouvelle version de la Loi sur la protection des renseignements personnels et les documents électroniques, adoptée à Ottawa en juin 2015, augmente ses responsabilités à cet égard.

Il faut d'abord distinguer entre données anonymes et renseignements personnels. Seuls ces derniers sont couverts par la loi. Pas si simple : toute information permettant d'identifier un individu est jugée personnelle. «Mais un renseignement de prime abord anonyme peut devenir personnel si, en le recoupant avec d'autres données, on peut l'associer à une identité», précise Charles Morgan, avocat associé chez McCarthy Tétrault et spécialiste en droit des technologies de l'information (TI).

Quelles données recueillir ?

Malgré quelques légères différences, les lois canadienne et québécoise établissent toutes deux que les données doivent être acquises avec le consentement des utilisateurs, et dans un objectif raisonnable.

Par exemple, un commerce pourra conserver les noms, adresses et numéros de carte de crédit de clients dans sa base de données pour leur éviter d'avoir à les inscrire à chaque achat, et ainsi accélérer le processus. Mais les clients devront avoir signifié leur accord au préalable.

«La nouvelle mouture de la loi fédérale précise que ce consentement doit être éclairé et qu'il n'est pas valable si la personne ne comprend pas la nature, les fins et les conséquences de la collecte des données», souligne Charles Morgan. Celles-ci ne doivent être conservées que le temps nécessaire à l'atteinte de l'objectif.

«La nature des données conservées est une décision d'affaires importante, note Charles Morgan. Certaines entreprises refusent de conserver des numéros de carte de crédit, jugés trop soumis aux risques de fuite, alors que d'autres le font, car cela leur procure un avantage commercial appréciable.»

En janvier 2007, TJX, l'entreprise américaine propriétaire de Winners, a révélé une intrusion dans ses systèmes touchant les renseignements personnels de 45 millions de clients. Les commissariats à la protection de la vie privée du Canada et de l'Alberta critiqueront vivement l'entreprise pour avoir conservé des renseignements jugés non pertinents à ses objectifs commerciaux, notamment les numéros de permis de conduire, exigés lors des retours de marchandises.

Préparation minimale, risque maximal

En 2015, une étude de Deloitte révélait que seulement 36 % des entreprises canadiennes disposaient de procédures et de technologies efficaces afin de se protéger d'attaques informatiques. À peine une sur dix était extrêmement bien protégée. Pourtant, les menaces sont nombreuses et personne n'est à l'abri.

«Les pirates ne font pas de discrimination entre petites ou grandes entreprises, note Amir Belkhelladi, associé et leader de la pratique de cybersécurité pour l'Est du Canada chez Deloitte. Ils attaquent les plus vulnérables. Les PME mal protégées sont des proies faciles.»

Trois types d'attaques sont particulièrement courants, dit-il. Le premier est le ransomware (logiciel de rançon). Téléchargé dans les systèmes de l'entreprise par l'intermédiaire d'une pièce jointe infectée ou d'un lien Internet, un logiciel malveillant chiffre en partie vos données, voire l'intégralité de celles-ci. Elles ne vous sont plus accessibles sans la clé du chiffrement, laquelle est bien sûr entre les mains des pirates. Comme ils ont le coeur sur la main, ils sont prêts à vous l'envoyer... contre une rançon. «Les montants demandés restent toujours à l'intérieur de la capacité de payer de l'entreprise, explique Amir Belkhelladi. Il faut comprendre que c'est le modèle d'entreprise des pirates. S'ils exigent trop, les victimes ne payeront pas. De la même façon, il est très rare que les pirates n'envoient pas la clé après le paiement.»

La fraude au président est aussi courante. En dénichant les informations de messagerie interne du président ou du directeur financier, par exemple, les pirates envoient un message au service des comptes fournisseurs, exigeant de virer une somme d'argent de toute urgence sur un compte étranger. Une fois le paiement fait, l'argent n'est pas récupérable et il est presque impossible de retrouver les coupables.

L'attaque par déni de service, laquelle rend un site transactionnel inopérant, est également fréquente et peut mener à une demande de rançon.

Le nombre de cyberattaques recensées dans le monde a progressé de 38 % en 2015. Source : « The Global State of Information Security Survey 2016 », PwC Renforcer la gouvernance

Pour Amir Belkhelladi, un bon plan de protection doit permettre de prévenir les attaques, de les détecter et de réagir rapidement en cas de piratage.

Il faut d'abord s'assurer de disposer d'une personne formellement responsable de voir à l'instauration et à l'évolution des processus de cybersécurité. Il faut ensuite établir des plans clairs de prévention et de détection, et installer les bonnes technologies de protection.

Tout cela pose nécessairement la question de la gouvernance. Contrairement à ce qui se fait en Europe et aux États-Unis, beaucoup d'entreprises québécoises n'ont pas de responsable de la cybersécurité directement lié au conseil d'administration. Pourtant, ce dernier a un rôle à jouer, puisque les cyberrisques sont devenus des risques d'entreprise.

«C'est aux administrateurs, et non aux employés, de décider à quels risques l'entreprise est prête à s'exposer ou quelles mesures de prévention doivent être instaurées», indique Jean-Marc Félio, président de Réseau C.A., qui commercialise Leading Boards, une plateforme de travail en ligne pour les conseils d'administration. «Or, les administrateurs n'ont pas toujours la formation et la sensibilité adéquates pour bien évaluer les risques informatiques et comprendre l'impact d'un incident», ajoute-t-il.

M. Félio donne l'exemple de l'hébergement des données à l'étranger, de plus en plus courant depuis l'arrivée de l'infonuagique. Cela exige de bien auditer les pratiques du sous-traitant, puisque, légalement, l'entreprise est responsable de la sécurité des données même si le piratage survient chez le sous-traitant.

«Mais dans bien des cas, les membres du conseil d'administration n'ont pas pris cette décision ni même été informés ; c'est le service des TI qui a décidé», souligne M. Félio.

Selon lui, le personnel en TI n'ose pas trop déranger les administrateurs avec ce qu'ils considèrent comme un simple sujet technique, alors qu'en fait il s'agit d'une question névralgique. «Une fuite de données, que ce soit les renseignements personnels de clients ou des données stratégiques, peut mettre en péril la survie de l'entreprise. Ce n'est pas à prendre à la légère !»

Les budgets de sécurité des entreprises ont, pour leur part, augmenté de 24 %. Source : « The Global State of Information Security Survey 2016 », PwC

Pourcentage des entreprises qui ont une stratégie pour se protéger des nouveaux risques liés aux technologies suivantes :

> 36 % Appareils mobiles

> 30 % Systèmes embarqués : systèmes électroniques et informatiques intégrés à des appareils intelligents

> 29 % Technologies de consommation : appareils électroniques pour le grand public 

> 26 % Systèmes d'exploitation : Windows, Mac OS, Irix, Symbian OS, Linux ou Android.

Source : «The Global State of Information Security Survey 2016», PwC