Cyberattaques : la majorité des grandes entreprises à risque

Les Autorités canadiennes en valeurs mobilières (ACVM) ont dévoilé jeudi les conclusions de leur examen de l’information sur les risques et les incidents liés à la cybersécurité et leur constat a de quoi inquiéter.

Quelque 61 % des sociétés constituant l’Indice composé S&P/TSX reconnaissent que la cybersécurité représente un risque important pour leurs activités, révèle l’Avis multilatéral 51-347 du personnel des ACVM.

Les émetteurs d’une grande diversité de secteurs ont indiqué que leur dépendance envers les systèmes de technologie de l’information les rendait vulnérables aux atteintes à la cybersécurité, et que les perturbations attribuables aux cyberincidents pouvaient avoir des répercussions négatives sur leurs activités, leurs résultats d’exploitation, leur situation financière et donc celle de leurs investisseurs.

Certains ont cité le secteur au sein duquel ils évoluent, les actifs précis détenus, la nature de leurs activités ou leur qualité d’entrepreneurs du gouvernement comme des facteurs augmentant la probabilité d’être la cible de surveillance ou d’une cyberattaque orchestrée par des pirates informatiques, des concurrents industriels ou des acteurs gouvernementaux. D’autres ont indiqué que leurs systèmes de technologie de l’information étaient désuets et fonctionnaient avec un niveau minimal de soutien.

Les répondants ont également souligné le risque que des tiers les exposent à des problèmes de cybersécurité. Ces facteurs représentent en effet une menace potentielle :

• les atteintes à la sécurité de tiers;
• l’insuffisance de l’expertise en cybersécurité et des mesures de protection de partenaires;
• la défaillance ou l’arrêt des services de tiers.

DE GRAVES RÉPERCUSSIONS

Parmi les répercussions possibles d’un cyberincident, les émetteurs citent entre autres :

• l’atteinte à la confidentialité des renseignements personnels d’un client ou un salarié;
• l’accès non autorisé à de l’information exclusive ou sensible;
• la destruction ou la corruption de données;
• la perte de revenus en raison d’une perturbation des activités;
• l’engagement de coûts pour corriger la situation;
• des litiges;
• des amendes;
• la responsabilité en cas de non-respect des lois sur la protection de la vie privée et la sécurité de l’information.

D’autres répercussions peuvent également être typiquement liées à leurs activités ou à leur secteur. Il peut s’agir notamment de retards opérationnels, comme des arrêts de la production ou des interruptions dans des usines et des services publics, l’incapacité à gérer la chaîne d’approvisionnement ou à traiter les opérations des clients ou à servir autrement les clients, des perturbations dans la gestion des stocks, la perte de données provenant des activités de recherche et de développement ou encore la dévaluation de la propriété intellectuelle.

Les ACVM ont fait de la cybersécurité une priorité dans leur plan d’affaires 2016-2019. Elles insistent sur l’importance de signaler toute cyberattaque le plus rapidement possible afin d’analyser la menace et de la contrer dans son ensemble.

Dans les prochains mois, les Autorités comptent poursuivre leur examen de l’information sur les risques liés à la cybersécurité et les cyberincidents, surveiller les tendances dans l’information à fournir et analyser l’étendue de l’information contenue dans les déclarations sur ce type d’incident et le moment où elle est communiquée.

La rédaction vous recommande :

• Les inspections de l’OCRCVM cibleront davantage les aînés
• Do you speak jargon financier?
• Les cyberattaques de plus en plus perfectionnées