En raison de la grève de Postes Canada, il y aura un délai dans la livraison des livres.

Devenez membre gratuitement Se connecter

JavaScript n'est pas actif sur votre navigateur.

Afin de pouvoir visualiser le contenu de cette page, veuillez l'activer en suivant ces étape.

Cybersécurité : beaucoup d’entreprises ignorent leurs obligations légales

par Kate McCaffery | 2 octobre 2024 16:33

Photo: Freepik | vectorjuice

Alors que 24 % des cyberattaques ou des violations de données réussies auraient coûté plus de 500 000 $, selon IT Trends 2024, le dernier rapport du Groupe NOVIPRO et d’IBM, des sanctions légales pourraient également s’appliquer si les entreprises ne respectent pas les mises à jour législatives récentes.

Cela inclut la Loi 25 au Québec et le projet de loi fédéral C-27, qui contient des propositions législatives relatives à la protection de la vie privée des consommateurs, à la protection des données et à l’intelligence artificielle (IA).

Au Québec, la Loi 25 traite de la protection des données et de la notification des violations de données. « Près d’un tiers des répondants ne connaissaient pas la Loi 25 ni le projet de loi C-27 », indiquent les auteurs du rapport. « Cette méconnaissance est particulièrement préoccupante en ce qui concerne la Loi 25, dont les dispositions régissent toutes les entreprises ayant des clients au Québec (quel que soit le lieu d’activité de l’entreprise). »

Même au Québec, 17 % des répondants ne connaissent pas la Loi 25, et ce nombre atteint 28 % dans le reste du pays. Parmi les participants au sondage, on compte 297 décideurs spécialisés en TI, 80 gestionnaires non spécialisés en TI et 76 décideurs non spécialisés en TI qui ne sont pas des gestionnaires.

Le non-respect de la Loi 25 entraîne des sanctions administratives — des amendes pouvant atteindre 10 millions de dollars ou 2 % « du chiffre d’affaires mondial de l’entreprise pour l’exercice précédent, selon le montant le plus élevé », selon un document d’information sur le sujet du cabinet Osler, Hoskin & Harcourt LLP.

Dans un autre rapport, le cabinet d’avocats Dentons indique que les organisations s’exposent à des sanctions maximales semblables : cette fois-ci, des sanctions administratives de 10 millions de dollars ou de 3 % du chiffre d’affaires mondial brut de l’organisation au cours de l’exercice précédent, selon le montant le plus élevé, en cas de violation du projet de loi C-27.

À noter que ce projet, qui n’a pas encore force de loi, est actuellement examiné par un comité permanent de la Chambre des communes. Les organisations qui contreviennent sciemment à la loi et commettent un acte criminel sont également passibles d’une amende de 25 millions de dollars ou de 5 % de leur revenu mondial brut.

« La convergence entre droit et ingénierie transforme l’approche des entreprises face à la cybersécurité », indiquent les auteurs du rapport IT Trends 2024. « L’inventaire des actifs, longtemps négligé en cybersécurité, devient crucial. Les entreprises, poussées par de nouvelles législations, cherchent maintenant à tenir à jour ces inventaires pour mieux cerner leur surface d’attaque. »

Ils soulignent également que certaines entreprises ont mis en place des programmes de gestion des fournisseurs plus rigoureux. « Pour les entreprises du Québec et du Canada, la cybersécurité doit transcender la simple conformité légale pour devenir un pilier de leur stratégie opérationnelle et un levier de différenciation sur le marché. »

Gouvernance des données

Parmi les résultats du rapport, on note que 68 % des répondants ont déclaré avoir mis en place des processus de gouvernance des données, ou envisagé de le faire. Ce chiffre grimpe à 84 % parmi les entreprises du secteur des services financiers. En outre, 68 % des entreprises ont offert une formation à la cybersécurité l’année dernière, et 57 % des répondants ont déclaré que leur entreprise avait mis en œuvre un plan de continuité des affaires.

Il est à noter que 21 % des répondants ont déclaré que leur entreprise avait été victime d’une menace cybernétique. Les auteurs indiquent également que 40 % des cyberattaques signalées provenaient d’acteurs internes. Quelque 29 % des personnes interrogées ont déclaré avoir une assurance cyber. De plus, 31 % ont indiqué que leur entreprise n’avait pas l’intention d’en acquérir.

La cyberassurance

« Il n’est pas surprenant que les entreprises d’au moins 100 employés soient largement enclines à souscrire à une cyberassurance. Les petites entreprises qui pourraient vouloir souscrire à une assurance ne sont quant à elles pas en mesure d’assumer le double fardeau des coûts d’assurance et des investissements requis dans les mesures de sécurité », indiquent NOVIPRO et IBM.

« Les polices d’assurance stimulent les investissements dans les mesures de sécurité ; chaque année, les assureurs ajoutent de nouvelles mesures que les entreprises doivent respecter pour pouvoir bénéficier d’une cyberassurance. »

Les plus populaires en Entrepreneuriat

Des obstacles entravent la carrière des femmes dans le secteur de l’assurance au Canada