Principaux constats tirés de notre étude récente sur la cybersécurité

Aussi, peu de ressources offrent un portrait analytique des cyberactivités malveillantes existantes sur le marché canadien. Afin de remédier à cette lacune, Blakes publie chaque année depuis trois ans son Étude sur les tendances en matière de cybersécurité au Canada.

Voici cinq points à retenir de notre étude, qui ont par ailleurs été abordés récemment lors d’un webinaire offert par Blakes :

1. Augmentation du nombre de cyberattaques.

Le nombre et la puissance destructrice des cyberattaques se sont accrus considérablement en 2021. Les cyberattaquants changent leurs méthodes continuellement et les types de menaces diffèrent d’un mois à l’autre.

Les organisations doivent demeurer vigilantes en veillant à mettre à jour leurs politiques en matière de cybersécurité et à sensibiliser leurs employés à la cybersécurité.

2. Attaques par rançongiciel.

Les attaques par rançongiciel restent la forme la plus courante de cybercriminalité. Elles se déroulent typiquement comme suit : le cyberattaquant chiffre les principaux systèmes de l’organisation cible dans le but de les paralyser; vole les données contenues dans le système; puis exige une rançon en échange des clés de déchiffrement, et de son engagement à ne pas publier les données volées (et à les supprimer).

Notre étude révèle que 56 % des victimes d’une attaque par rançongiciel choisissent de payer la rançon. Il n’y a pas que le nombre d’attaques qui augmente, les montants réclamés grimpent également : dans 25 % des cas, la rançon payée dépassait 1 M$ US.

3. Signalement obligatoire.

À l’heure actuelle, le Canada et l’Alberta exigent le signalement des atteintes à la vie privée en vertu de leurs législations respectives. Au Québec, les obligations de signalement des atteintes à la vie privée entrent en vigueur en septembre 2022, et tout manquement à celles-ci pourrait entraîner une sanction pécuniaire allant jusqu’à 10 M$ CA ou 2 % du chiffre d’affaires mondial de l’organisation.

4. Tendances relatives aux litiges.

Les demandes d’autorisation d’actions collectives en matière de protection de la vie privée sont en hausse, mais très peu sont approuvées. Plusieurs tribunaux ont par ailleurs statué que l’anxiété ou la détresse générale découlant d’un accès non autorisé à des renseignements personnels ne justifiait pas l’octroi de dommages-intérêts.

Les cyberpirates, cependant, devraient faire bien attention. Dans une affaire récente faisant jurisprudence, un pirate informatique canadien a été condamné à près de sept ans de prison pour avoir mené des attaques par rançongiciel à grande échelle et a dû payer 2,8 M$ CA à ses victimes canadiennes.

5. Vérification diligente en matière de cybersécurité.

Aujourd’hui, la vérification diligente en matière de cybersécurité constitue une étape cruciale dans les opérations de fusion et acquisition. Celle-ci devrait tenir compte de la nature des activités de la cible, du degré de sophistication des systèmes de sécurité informatique de cette dernière, de la valeur de l’opération, des données visées par l’opération, de l’échéancier établi et des risques sur le plan de la responsabilité.

La vérification diligente devrait également comprendre un examen des lois applicables, une analyse de l’infrastructure informatique de la cible ainsi qu’une évaluation des politiques et des pratiques en matière de cybersécurité adoptées par la cible.