Plusieurs moyens existent pour atténuer les effets d’une cyberattaque et en limiter les dégâts. La conseillère juridique et avocate Kateri-Anne Grenier, de Fasken Martineau, fait une revue des principales solutions à mettre en place et des bonnes questions à se poser en cas de crise.

Bien cerner l’incident

 

 

Une entreprise a été victime d’une cyberattaque. Le terme est large. De quel type d’attaque parle-t-on, au juste ? Y a-t-il eu un vol de données potentiellement préjudiciable pour les clients ?

« Il faut faire la différence entre un incident de sécurité et une fuite de renseignements, insiste Me Grenier, qui a joué le rôle de conseillère juridique pour des entreprises victimes d’attaques informatiques. »

« Ce n’est pas parce que vous vivez une cyberattaque ou un incident de sécurité que, nécessairement, il y a des données personnelles qui ont été volées ou exfiltrées. Normalement, ça prend une bonne enquête d’au moins deux semaines, parfois trois, avant de le savoir. »

Dans certains cas, dit-elle, on observe des signes alarmants dès le début de l’incident. La situation commande toutefois une gestion différente en l’absence de signe avant-coureur de vol de renseignements. Dans ce cas, ajoute-t-elle, on essaie autant que possible d’attendre les conclusions du rapport d’enquête.

Mais si on pense ou constate que des renseignements auraient pu être volés pour être revendus sur le Web clandestin, l’entreprise devra mettre en place des processus afin de respecter ses obligations juridiques. Un avocat l’aidera à rédiger des avis et à transmettre l’information demandée, tout en la protégeant pour qu’elle évite d’admettre des choses qui pourraient revenir la hanter lors d’un recours collectif.

Contrairement à d’autres provinces canadiennes, le Québec n’a pas de loi qui oblige le signalement des incidents de sécurité. Souvent, des entreprises le font quand même, quand des renseignements sensibles ont pu être volés. C’est une stratégie qui a l’avantage de contrôler le message auprès des autorités.

Les sociétés ouvertes ou assujetties aux règles de l’Autorité des marchés financiers peuvent avoir des obligations autres que celles qui concernent les renseignements personnels. « Vous pouvez avoir à publier des communiqués, précise Me Grenier, puisque la cyberattaque peut constituer un fait important susceptible de faire varier le cours de votre titre. »

 

Former une cellule de crise

 

 

En cas d’incident, conseille Kateri-Anne Grenier, il faut rapidement mettre sur pied une équipe qu’elle décrit comme une « cellule de crise ».

Elle recommande qu’elle ne soit pas constituée uniquement d’experts en cybersécurité. Elle devrait aussi comprendre le fournisseur informatique, car il connait bien les systèmes de l’entreprise. Cet expert aidera à contenir l’attaque et contribuera à l’enquête pour déterminer s’il y a eu vol de données.

La cellule de crise devrait aussi être composée d’employés du service des communications internes, de membres de la direction et d’un représentant de la direction chargé de faire rapport au conseil d’administration. « Vous aurez aussi besoin de gens en ressources humaines », ajoute-t-elle. Elle cite un cas qu’elle a vécu à titre de conseillère juridique externe. Il y avait eu fraude à l’interne. L’entreprise, par l’entremise de son personnel des ressources humaines, a dû suspendre immédiatement des employés, le temps de l’enquête.

« Même s’il n’y a pas de problématique de fraude à l’interne, souligne Me Grenier, les gens de ressources humaines sont extrêmement importants pour garder vos équipes motivées. Des gens vont travailler de très nombreuses heures quotidiennement, pendant assez longtemps. Il faut maintenir le moral et le momentum. Il faut aussi garder les employés informés de ce qui se passe. »

La gestion des employés à l’interne s’avère également capitale, note-t-elle. « Les premiers à qui vous allez devoir bien expliquer la situation, la cyberattaque dont l’entreprise est la cible, ce sont les employés qui ne sont plus capables de travailler avec leur ordinateur. Si vous les laissez aller dans la nature le vendredi après-midi, dans le noir, c’est sûr qu’ils vont dire à leurs amis que leurs ordinateurs ne fonctionnent plus au travail et que le mot va se propager. »

La communication est primordiale dans de tels cas, insiste l’avocate. « Vos employés, ce sont vos alliés. Il faut bien les renseigner et leur donner toute l’information possible. »

 

Ne pas négocier directement avec les cyberpirates

 

 

Tant Kateri-Anne Grenier que Dominic Villeneuve, expert en cybersécurité à UV Assurance, font une mise en garde sur la tentation et le risque de négocier directement avec les cyberpirates.

« Si vous communiquez vous-mêmes avec les pirates, ça peut être un jeu dangereux, car ces gens-là savent comment s’y prendre, prévient la conseillère juridique. Dès les 24 premières heures, leurs demandes sont claires. On va savoir s’il y a une rançon, combien ils réclament et évaluer nos options. »

Dominic Villeneuve soutient aussi que c’est une très mauvaise idée de parler directement aux pirates. Il faut laisser les spécialistes s’en charger, insiste-t-il, car il y a une façon de les approcher.

Si une rançon est demandée, a-t-on une copie des données ? Est-ce qu’on entre quand même en contact avec le pirate informatique? « On verra ce qu’il nous répond, ou encore le montant de la rançon exigée. On décidera si on paie ou si on est capables de se remettre à jour par nous-mêmes », explique Me Grenier.

 

Toujours avoir une copie de ses données

 

 

Une entreprise devrait posséder une copie de ses dossiers au cas où elle serait victime d’une cyberattaque.

« Rappelez-vous toujours qu’en cas de cyberattaque, les pirates vont verrouiller vos systèmes et les rendre inaccessibles, incluant votre messagerie », prévient Kateri-Anne Grenier, qui joue souvent le rôle d’avocate-conseil externe en pareilles circonstances.

Dans certaines attaques, les serveurs Internet sont touchés et, dans plusieurs cas, les gestionnaires et les employés n’ont pas accès à leurs outils informatiques pendant plusieurs jours. « C’est fou le temps qu’on perd en début de crise parce que les entreprises ne retrouvent pas leur police d’assurance, ne savent plus qui appeler et n’ont pas accès à leurs courriels et à leurs dossiers. Préparez-vous en conséquence. »

Elle insiste sur ce point. « Quand ça vous frappe et qu’il n’y a plus rien qui fonctionne, c’est important d’avoir vos informations en copie papier ou sur un autre support – votre police d’assurance, votre plan d’urgence et les coordonnées des personnes à aviser à l’externe, comme son courtier d’assurance, un breach coach ou son assureur –, et d’avoir à portée de main le processus à suivre au niveau de la chaine de contacts. »

Elle conseille aux entreprises de se munir à l’avance d’une liste d’adresses courriel et de numéros de téléphone cellulaire personnels qui peuvent être utilisés par la cellule de crise pour communiquer et pour mettre à exécution le plan d’urgence.

 

Déterminer la nécessité d’un signalement

 

 

Une entreprise doit-elle faire savoir publiquement qu’elle a été victime d’une cyberattaque? Tout dépend qui se fait pirater, selon Kateri-Anne Grenier.

« Une entreprise de construction est à des kilomètres des projecteurs médiatiques et du risque réputationnel de ce que pourrait vivre une compagnie d’assurance qui possède des renseignements très sensibles, comme les dossiers médicaux de ses clients », illustre-t-elle.

Si les renseignements personnels des clients ont été volés, il faut répondre à la question très rapidement : doit-on le faire savoir dans les heures qui suivent ? « La communication externe, c’est autre chose que la communication interne, avec les employés, explique Me Grenier. À l’externe, on va gérer l’attention des médias. On va vouloir se faire rassurants, projeter une image de contrôle et écrire notre propre histoire avant que quelqu’un le fasse avant nous. »

Toutefois, elle suggère de réfléchir avant de tout dévoiler sur la place publique. Quel est l’objectif ? Parle-t-on de l’entreprise, actuellement ? A-t-on besoin de s’afficher immédiatement ? « Tout ça se fera en faisant la balance des pour et des contre et en soupesant les craintes que les gens peuvent avoir par rapport à l’incident et à vos activités. »

Me Grenier suggère aussi de réfléchir aux différents modes de communication avec les médias. A-t-on besoin de donner une conférence de presse ? Faut-il que le président de l’entreprise fasse la tournée des stations de radio et de télé de la province pour donner des entrevues ? Est-ce qu’un simple communiqué de presse peut faire le travail ?

Comme avocate, Me Grenier veut garder le dialogue avec les responsables des communications et être informée de ce qui va se dire et s’écrire pour apporter son point de vue. Elle veut aussi faire en sorte que l’entreprise ne se rende pas trop vulnérable, notamment aux demandes de recours collectifs.

« Rester factuels est ce que je préconise. Si ça fait une heure que la crise est en marche, que le pirate informatique est encore dans le système, qu’on ne connait pas encore le virus ou ce qui a été touché au niveau des données personnelles, sortir dans l’espace public et affirmer que c’est garanti qu’il n’y a aucune atteinte aux données personnelles est alors peut-être prématuré. On peut dire qu’il n’y a pas de signe d’exfiltration de données, mais que l’enquête est en cours. Ce sont des nuances qui vont vous permettre de bien vous protéger. »

Certaines formules sont aussi évitées, dit-elle. « Il faut faire attention aux mots et expressions comme “excuses”, “mea culpa”, “on devrait être meilleurs” ou “on va s’améliorer”. Ça peut vous hanter dans le futur. Il faut se montrer compréhensifs des inconvénients. Il faut dire à ses clients qu’on travaille d’arrache-pied à rétablir la situation, qu’on comprend bien leurs inquiétudes et qu’on aura des réponses. Donner trop de détails sur l’incident peut avoir l’effet contraire. Vous venez peut-être d’ouvrir sur des aspects dont vous n’avez certainement pas envie de parler. »

Elle exhorte aussi les entreprises victimes de cyberattaques à ne pas renoncer au secret professionnel. Des clients et des partenaires voudront peut-être qu’on leur communique des éléments ou consulter les rapports d’experts. Tous les documents préparés par l’entreprise lui appartiennent et sont couverts par le secret professionnel, fait-elle valoir. Si on décide de les communiquer, on peut prendre certaines précautions, comme mettre une mention « Strictement confidentiel » ou « Ne pas diffuser ». On peut aussi se contenter de donner des extraits de rapports.

 

Travailler à réduire les risques de recours collectif

 

 

Après une cyberattaque, il y a deux risques externes qu’une entreprise voudra prévenir, dit l’avocate Kateri-Anne Grenier : une désertion de ses clients et un recours collectif.

« Les avocats en demandes en recours collectifs sont très agressifs », a-t-elle expliqué lors du Forum sur la cybersécurité. La plupart visent à faire beaucoup d’argent avec les dommages-intérêts punitifs. Toutefois, des questions se posent toujours dans les milieux juridiques. Est-ce que des dommages-intérêts punitifs peuvent être réclamés dans le cas d’une cyberattaque ? Est-ce que le recours fera vraiment progresser la sécurité des renseignements personnels ? 

Me Grenier a constaté dans tous les cas qu’elle a observés que les avocats s’appuient sur les déclarations faites par l’entreprise dans les médias pour justifier leur recours. Ils allèguent ensuite qu’il y a eu violation du contrat et que l’entreprise a l’obligation de protéger les renseignements personnels de ses clients. Dans les demandes introductives d’instance qu’elle a lues au cours des deux dernières années, Me Grenier a observé qu’on s’appuie aussi sur les communiqués publiés par les entreprises pour justifier leurs gestes.

Les avocats réclament souvent le remboursement des pertes subies par les clients, des montants pour les inconvénients liés à l’incident et des dommages-intérêts punitifs. C’est avec ces derniers que les cabinets d’avocats et les demandeurs « vont faire leur argent », dit l’avocate.

Selon cette dernière, au Québec, aucun jugement n’a encore été rendu contre une entreprise dans un dossier de cybersécurité. Toutefois, dans deux cas, les tribunaux ont refusé d’autoriser des recours collectifs même s’il y avait eu cyberattaque, et même atteinte potentielle à la sécurité de renseignements personnels.

Les juges ont estimé que les demandeurs n’étaient pas en mesure de faire la preuve qu’il y avait eu fraude d’identité. Le tribunal estimait aussi que le seul fait comme citoyen de procéder de temps à autre à un relevé de ses comptes bancaires et de ses cartes de crédit ne constituait pas un inconvénient assez important pour être dédommagé.

Pour réduire les risques de poursuite collective, la conseillère juridique conseille donc la prudence aux entreprises touchées par une cyberattaque avant de faire des déclarations publiques.

« On n’empêchera pas les recours collectifs avec ça, reconnait-elle. Toutefois, dès les premières communications, on peut s’assurer de publier quelque chose qui ne nous mettra pas dans l’eau chaude au niveau de sa responsabilité. »

Le fait que l’entreprise exerce ses activités au Québec uniquement, au Canada ou dans le monde change aussi la manière de gérer les risques et les renseignements personnels en pareilles circonstances.

Pour couper l’herbe sous le pied aux avocats de recours collectifs, les entreprises se montrent de plus en plus proactives, une stratégie qu’appuie l’avocate. Un exemple : parce que ses services ont été interrompus pendant quelques semaines, une société décide de son propre chef d’accorder un crédit d’abonnement de deux mois pour remercier ses clients de leur fidélité. Les entreprises ne le font pas à titre de dédommagement pour les inconvénients causés, mais pour atténuer ou supprimer le mécontentement ou le préjudice que le client aurait pu subir.

« On peut arriver avec des idées innovantes qui sont en ligne avec le plan d’affaires, dit Me Grenier. Comme avocate, je suis très ouverte à mettre en œuvre des solutions comme celles-ci, car le plus important est de vous remettre à flot et de diminuer les effets le plus possible. »

 

Bien utiliser sa police d’assurance des cyberrisques

 

 

Les entreprises qui ont pris la précaution de souscrire une police d’assurance contre les cyberattaques s’en réjouissent si elles ont le malheur d’être victimes de cyberpirates, affirme Kateri-Anne Grenier.

« Celles qui ont une protection d’assurance, qui ont un accompagnement et qui n’ont pas à se soucier des frais d’expertise et d’enquête assez faramineux sont contentes de leur protection quand elles sont visées par l’hameçonnage, le verrouillage de données ou la fraude du président, ou qui vivent des incidents qui impliquent la faute d’un employé à l’interne », dit-elle.

Selon elle, un courtier en assurance de dommages peut jouer un rôle majeur si son client est victime d’une cyberattaque. « Ce courtier connait bien vos protections. Ça peut être un atout pour vous et peut vous être très utile. Quand on est dans une crise, l’assureur de dommages n’aura pas le temps de vous donner en deux heures une opinion écrite complète sur ce qui est couvert et ce qui ne l’est pas. »

En cas de cyberattaque, avant d’embaucher des avocats, une entreprise de services informatiques ou des spécialistes en relations publiques, il vaut mieux avoir une bonne discussion avec son courtier pour instituer un dialogue rapide avec l’assureur.

« Les assureurs de dommages comprendront mieux votre démarche, dit Me Grenier, car plus on perd du temps lors d’une cyberattaque, plus les dommages peuvent être importants pour votre réputation et vos affaires. Tout le monde a intérêt à ce que les choses se mettent en branle et s’enclenchent rapidement. Le courtier d’assurance, quand il connait bien sa police et qu’il est un allié de l’assuré, peut jouer un rôle de premier plan lors des évènements. »