Les PME et les cyber-risques : quand l’inertie n’est plus une option

7 juillet 2016

À l’heure actuelle, la question n’est pas de savoir si votre entreprise en démarrage devra gérer les cyber-risques associés à ses activités, mais plutôt comment elle devra le faire

Serge LeBel, Associé, avocat et administrateur de sociétés certifiés (ASC)

Les risques propres à l’usage des technologies de l’information sont nombreux, allant du vol de données, au piratage, en passant par la paralysie des réseaux informatiques. Malheureusement, ils évoluent rapidement, de telle sorte qu’il est impossible de les réduire à zéro. Il serait par ailleurs bien illusoire de croire que la cybercriminalité ne concerne que les grandes entreprises. Au contraire, les entreprises en démarrage en sont aussi la cible puisqu’elles ont généralement des mécanismes de défense moins sophistiqués, voire inexistants !. Il s’avère donc nécessaire de suivre l’exemple de milliers d’entrepreneurs et de faire de la sécurité et du contrôle de votre système informatique l’une de vos priorités.

Imaginons le cas d’une entreprise victime d’une cyber-attaque et qui se retrouve avec un système informatique, aussi petit soit-il, paralysé. Elle peut devenir incapable d’effectuer des transactions, de passer des commandes, bref de vaquer aux occupations indispensables à la bonne marche de son fonctionnement. Ceci peut grandement affecter son potentiel de revenus, et son fonds de roulement, à une étape cruciale de son développement. Pire encore, elle pourrait se faire voler des données confidentielles lui appartenant à elle ou à des clients et devoir les en informer. Ceci pourrait lui coûter son existence !

Un tel incident pourrait, en outre, si l’entreprise lui survit, nuire gravement à sa réputation en plus d’avoir un coût exorbitant. Par ailleurs, l’entreprise en question risquerait de faire face à des poursuites judiciaires s’il s’avérait que l’incident a causé des dommages à des tiers et qu’on notait des lacunes dans la gestion de du système informatique. Ce risque serait d’autant plus réel pour les personnes qui siègent sur le conseil d’administration, ce qui est souvent le cas des principaux acteurs de l’entreprise en démarrage. Ces derniers doivent en effet agir avec diligence et compétence et une attitude négligente vis-à-vis des cyber-risques pourrait leur être reprochée sévèrement. Une cyber-attaque qui aurait pu être évitée pourrait servir de base à des poursuites judiciaires contre eux et compromettre leur poste au sein de la société ou miner la confiance de ses actionnaires et parties prenantes.

Soyez proactif : Adoptez et appliquez un protocole de prévention

Afin de réduire les risques d’une cyber-attaque et d’en minimiser les conséquences, l’adoption d’un protocole de prévention, adoptant les meilleures pratiques par rapport à l’industrie, s’appliquant à toutes les activités de l’entreprise et tenant compte des risques émanant de tiers, que ce soit des clients ou des partenaires d’affaires devient l’option à privilégier. Une mise en place ainsi qu’un suivi des mesures au protocole sont requis. De même, une révision périodique du protocole s’impose également vu l’évolution des risques ainsi qu’adapter les nouvelles meilleures pratiques. En bref, il ne s’agit là que de l’application du devoir d’agir raisonnablement à l’égard de la gestion d’un risque.

Il faut aussi s’assurer d’être protégé par une police d’assurance adéquate qui couvrira les pertes subies par vous ou par des tiers lors d’une éventuelle cyber-attaque, que ce soit un vol de données, une extorsion ou un piratage. Il faut également veiller à ce que sa police d’assurance protège contre les diverses poursuites pouvant découler d’un défaut de sécurité.

Étant donné que les cyber-risques sont un phénomène relativement nouveau, il est possible que les polices actuelles auxquelles les entreprises ont souscrites soient à réviser. Pensons à l’affaire Sony, où la Cour suprême de l’État de New York a décidé que la couverture d’assurance de dommages de l’entreprise créatrice de la PlayStation ne couvrait pas les conséquences du piratage de grande envergure dont elle avait été victime en 2011.

De nouvelles obligations qui vous concernent directement

En tant qu’entrepreneurs ou administrateurs de sociétés, renseignez-vous sur les obligations légales auxquelles vous êtes assujettis en raison de la nature de vos activités ou de leur portée territoriale. En effet, pour faire face à la nouvelle réalité des cyber-risques, les gouvernements ont adopté des lois et des règlements qui forcent les compagnies à prendre des mesures de sécurité et de contrôle sérieuses. Ces nouvelles mesures vous concernent directement puisqu’elles ajoutent à vos obligations en matière de protection de la vie privée et prévoient des pénalités.

Par exemple, si vous êtes dans un domaine régi par les lois fédérales ou si vous obtenez des renseignements personnels dans le cadre de vos opérations interprovinciales et internationales, ne serait-ce que par le biais d’internet, vous devez vous conformer à la Loi fédérale sur la protection des renseignements personnels et les documents électroniques (LPRPDE). Toutefois, si vous œuvrez dans le domaine de la santé, vous serez plutôt soumis à la Loi sur la protection des renseignements personnels dans le secteur privé du Québec.

Ainsi, vous gagnerez à vérifier quelles sont les lois qui vous gouvernent, cerner les obligations découlant de ces lois et adopter une ou plusieurs politiques vous permettant de vous y conformer.

En somme, bien que les technologies de l’information soient un atout pour la bonne marche de votre entreprise en démarrage, la nouvelle réalité des cyber-risques fait en sorte que le recours à ces technologies doit s’accompagner de mesures de prévention, qui devrait être considérées comme incontournables pour les plus petites entreprises, comme pour les plus grandes. Ces mesures sont diverses, allant de la mise sur pied d’un protocole de gestion des ressources informatique à la souscription à une assurance adéquate. Bien qu’elles requièrent certains efforts, ces mesures sont nécessaires et pourraient au final vous éviter bien de mauvaises surprises desquelles vous n’êtes pas protégés, peu importe l’importance de vos opérations.

Notre équipe Startup peut donc vous conseiller en matière de prévention des cyber-attaques et vous aider à assurer la sécurité de votre entreprise sur Internet. N’hésitez pas à nous contacter à cet effet.

Serge LeBel fait partie de l’équipe Startup de BCF qui offre, notamment, à notre clientèle d’entreprises en démarrage des services et des conseils juridiques pertinents à propos de leur présence sur internet. Cet environnement en constante évolution requiert l’expertise d’une équipe multidisciplinaire comme celle de BCF.