«La question n’est pas de savoir si ça va arriver mais quand ça va arriver», a noté Me Guillaume Beaupré, directeur des affaires juridiques chez Devolutions, en compagnie de Martin Lemay, chef de la sécurité de la même entreprise, lors du récent déjeuner-conférence du Regroupement des gens d’affaires de Lavaltrie tenu en collaboration avec AXÉ Compétences D’Autray.

Outils

Les grandes entreprises ne sont pas les seules à être touchées. C’est aussi le cas des PME. Au moins deux compagnies de Lanaudière ont été visées par des attaques informatiques au cours des derniers mois.

Me Beaupré a noté l’importance que l’engagement à installer un filet de sécurité le plus solide possible vienne d’en haut. C’est-à-dire des dirigeants d’une compagnie. Ce doit être le résultat d’un processus de réflexion sur la prévention des incidents.

Les menaces peuvent provenir de deux sources: un employé mécontent pour une raison ou une autre, un piratage provenant de l’externe. «Le cyber-espionnage, ce n’est pas une joke», a aussi noté M. Lemay.

Une menace informatique prend souvent son origine du facteur humain. «C’est parfois un clic qu’on ne doit pas faire», a signifié Me Beaupré; précisant que les courriels d’hameçonnage sont nombreux.

Cela peut déboucher sur des conséquences financières, un impact sur les opérations et un risque réputationnel.

Différents éléments doivent être mis de l’avant afin de mieux prévenir les incidents de sécurité. Il est recommandé aux entreprises de faire une évaluation de leur situation actuelle (inventaire des données personnelles, sensibles et confidentielles; points d’entrée, de sortie ainsi qu’endroit de stockage; qui a accès aux données et à qui elles sont transférées à l’extérieur à des fins de traitement) afin d’identifier les failles potentielles et le niveau de risque.

Un tel examen doit se faire chaque année. C’est une habitude à prendre.

Il est recommandé d’établir, à l’interne, une politique de sécurité et de confidentialité des informations (bonnes pratiques et pratiques interdites, utilisation acceptable des appareils) et d’effectuer une formation des employés.

Il faut désigner une personne ou former un comité pour identifier et superviser la mise en place des mesures préventives. Il est possible de faire appel à des services externes. Des polices d’assurances couvrant les cyber-risques existent.

Une entreprise doit mettre en place un plan de continuité des affaires advenant qu’elle n’ait plus accès à ses données. Il faut se doter d’un plan de réponse aux incidents (contenir la menace, déterminer la cause et la portée de l’invasion informatique, éradiquer la menace complètement, retourner aux opérations courantes).

Il faut que l’entreprise touchée, si c’est le cas, contacte son assureur.

Enfin, elle doit aussi contacter un avocat pour déterminer, en outre, s’il y a une obligation de notifier les autorités et-ou les personnes affectées et déterminer les obligations contractuelles (clients, employés, sous-traitants, etc.).

Le cocktail du président, jumelé à l’assemblée générale annuelle, est la prochaine activité du Regroupement des gens d’affaires de Lavaltrie. Le rendez-vous est fixé pour le 8 avril.