En 2021, les atteintes à la sécurité des données ont coûté aux entreprises canadiennes près de 7 millions de dollars[1] juste en frais de récupération de données. Les coûts peuvent littéralement exploser en cas de litige. C’est pourquoi la préparation aux litiges et la conformité sont des éléments fondamentaux des stratégies des conseillers juridiques en cas de brèche.
Les organismes et les entreprises adoptent les solutions virtuelles, le travail hybride et, ce faisant, elles ne sont plus à l’abri des possibles cyberattaques. Voici trois des raisons les plus évidentes pour lesquelles les équipes juridiques doivent tenir compte de cette nouvelle réalité :
– surfaces d’attaques vastes, tant physiques que virtuelles;
– gestion complexe des réseaux hybrides et des utilisateurs distants;
– valeur de la propriété intellectuelle et des données nominatives.
Les technologies de sécurité sont plus sophistiquées qu’avant et les données sont répandues entre différents utilisateurs, sur plusieurs plateformes, appareils et réseaux, ce qui fait qu’il est de plus en plus complexe de réagir aux brèches. Auparavant, ce genre de situation ne concernait que les TI; maintenant, il faut coordonner la réponse entre diverses équipes, compétences et fonctions. La réponse habituelle à une brèche comprend les étapes suivantes :
– la détection;
– l’endiguement;
– la correction et la récupération;
– l’enquête des services judiciaires;
– le rapport;
– la préparation aux litiges.
Une stratégie moderne pour réagir aux atteintes à la sécurité des données s’appuie autant sur la responsabilité des conseillers juridiques que sur celle des TI pour atténuer leurs conséquences financières, juridiques et à la réputation pour l’organisme. Pour y arriver de manière efficace, les conseillers juridiques doivent savoir exactement quelles données ont été pillées, à qui elles appartenaient et s’il faut signaler l’incident et aviser les intervenants.
Si vous étiez un conseiller juridique, par où devriez-vous commencer?

Quatre points de départ

1. Concevoir une politique efficace de préservation et de rétention des données
Dans un contexte de travail hybride, les employés accèdent aux données et en produisent depuis différents terminaux situés à l’extérieur du périmètre sécurisé du bureau. Ils peuvent se servir d’appareils personnels ou partagés ou d’applications qui ne sont ni approuvées, ni gérées par le service des TI. C’est ce qu’on appelle l’informatique de l’ombre. En plus d’exposer les organismes aux possibles cybermenaces, l’informatique de l’ombre peut compliquer davantage le processus de découverte électronique, notamment la collecte et la criminalistique numérique, où il faut éviter que des renseignements essentiels soient perdus, détruits ou modifiés.
Sans une solide stratégie de protection des données ni directives de rétention, le pillage s’avère bien possible. Lorsque les données numériques sont pillées, perdues ou ne peuvent être restaurées, des sanctions juridiques et des problèmes de conformité peuvent s’ensuivre.
2. Effectuer une collecte des renseignements stockés électroniquement hautement défendable et vérifiable
La tâche de rassembler des renseignements stockés électroniquement (RSE) et d’y accéder en cas de litige peut sembler insurmontable. Qui plus est, si elle est mal exécutée, elle pourrait avoir des conséquences onéreuses pour toute organisation victime d’une atteinte aux données.
Le travail hybride et à distance fait que les données sont enregistrées à différents endroits comme les ordinateurs portatifs ou de bureau, les appareils mobiles, les serveurs et les réseaux sociaux. Cette situation comporte son lot de défis uniques pour la collecte de RSE en cas d’atteinte aux données. Par contre, il est possible de tirer son épingle du jeu avec le bon partenaire technologique.
Par exemple, vous devriez envisager de travailler avec des experts en découverte électronique et en gestion des risques capables d’effectuer une collecte de données à distance et à l’interne. L’équipe de services de découverte électronique de Ricoh a récemment ouvert un laboratoire judiciaire à Toronto qui lui a permis d’éviter facilement et en toute sécurité les incertitudes liées aux délais d’expédition des appareils. Grâce au laboratoire, les données passent de manière sécuritaire et sans difficulté de la collecte des services judiciaires jusqu’à la production.
3. Travailler de manière proactive avec les TI et la direction pour intégrer la cybersécurité à la stratégie organisationnelle
On ne saurait trop insister sur ce point : les organisations qui ne gèrent pas efficacement leurs risques en matière de cybersécurité sont de plus en plus vulnérables à des dommages majeurs. Au-delà des coûts financiers liés à la correction des applications et des systèmes, elles s’exposent à des conséquences onéreuses sur les plans des règlements, des lois et de leur réputation. Ce dernier risque repose carrément sur les épaules de l’avocat qui devra atténuer les répercussions pour son client.
Par conséquent, les équipes juridiques, à titre d’intendants de la conformité organisationnelle, peuvent aider les organisations à concevoir des stratégies complètes de sécurité qui comprennent des plans sur la gouvernance de l’information, sur les normes réglementaires et même sur les lois sur la protection des renseignements personnels tout en tirant profit de la technologie et des logiciels les plus récents en matière de sécurité.
Par exemple, l’avocat de l’organisation pourrait travailler avec le directeur principal de la technologie ou le directeur de la sécurité de l’information pour concevoir de meilleures politiques sur les données nominatives et des protocoles clairs pour mener des enquêtes sur les atteintes aux données, qu’elles viennent de l’intérieur ou de l’extérieur.
Au bout du compte, le paysage numérique actuel force les équipes juridiques et les services des TI à travailler ensemble.
4. Savoir se protéger contre les cyberattaques
Selon le Forum économique mondial[2], 97 % des cybermenaces misent sur l’erreur humaine et 28 % des attaques pourraient être évitées si les employés suivaient les directives de cybersécurité.
Par conséquent, la meilleure défense d’une organisation demeure ses employés. Voici quelques pratiques exemplaires pour se tenir à distance des menaces :
– Définir un solide protocole pour les mots de passe pour l’ensemble de l’organisation et y inclure l’authentification multifactorielle.
– Offrir des formations visant à reconnaître les avis suspects, les rançongiciels et les courriels d’hameçonnage et à savoir comment y réagir.
– Gérer l’utilisation des appareils mobiles et personnels en ce qui a trait aux activités professionnelles.
– Mettre en place des systèmes de protection des terminaux qui préviennent, détectent et contrecarrent les possibles menaces pour la sécurité.
– Sécuriser le réseau en permettant ou en interdisant le flux de données au moyen d’un réseau privé virtuel (RPV), d’un pare-feu et de commutateurs.
Êtes-vous vulnérable à une brèche informatique? C’est inévitable. Travaillez avec un partenaire qui allie les TI, la gestion des données, la sécurité et la découverte électronique dans son offre de service pour qu’il vous aide, ainsi que vos clients, à limiter les dommages.
Si vous êtes victime d’une brèche, Ricoh vous propose une solution complète de réponse réglementaire aux brèches numérique qui vous aidera à examiner et à déterminer l’information requise pour étayer une telle réponse. Si vous souhaitez en savoir plus, communiquez avec nous dès maintenant!
[1] IT World Canada: Average cost of a data breach to Canadian firms studied hit $7 million, says IBM
[2] World Economic Forum: How to Prevent Cyber Attacks? Here are 5 tips