Le 18 avril 2022
Les panélistes d’un récent webinaire animé par Canadian Legal Innovation Forum soulignent la hausse, au Canada, des risques liés à la cybersécurité et des attaques par rançongiciel. Dans son reportage pour le périodique Canadian Lawyer couvrant le webinaire sur la cybersécurité, la journaliste Lucy Saddleton cite les pratiques exemplaires que recommandent les conférenciers pour atténuer les risques découlant d’une éventuelle cyberattaque, tant avant qu’après une violation de données. John Salloum, associé au sein du groupe de pratique Respect de la vie privée d’Osler et l’un des experts panélistes du webinaire, explique qu’il est nécessaire de disposer à l’avance d’un plan d’intervention solide en cas d’incident qui précise par ailleurs le rôle que devra jouer chaque service au sein de l’organisation.
« Vous ne voulez pas avoir à déterminer qui fera quoi en pleine gestion d’une attaque par rançongiciel », dit-il. Il est tout particulièrement important de compter dans l’équipe une personne qui peut évaluer la pleine ampleur de l’attaque.
John recommande de surcroît un processus en quatre étapes que les organisations devraient suivre lorsqu’elles font face à une attaque. Il faut d’abord contenir l’attaque et évaluer les risques qu’elle présente. Les organisations doivent ensuite, selon lui, en aviser tous les intervenants, qu’elles y soient légalement tenues ou non. Puis, il faut évaluer la situation et mettre en place des mesures préventives pour éviter d’autres attaques à l’avenir.
John conseille également aux organisations d’informer sans tarder leur assureur de l’attaque subie, même si leur police d’assurance ne couvre pas spécifiquement les attaques par rançongiciels.
« Les assureurs sont de plus en plus avertis, ayant acquis des connaissances sur le type de biens qu’ils assurent et ceux qu’ils excluent et ayant mis en place des exigences pour souscrire une telle assurance », explique-t-il. Néanmoins, une portion du sinistre pourrait être couverte aux termes d’une autre disposition de la police d’assurance.
Enfin, les panélistes conviennent que les équipes juridiques devraient rencontrer l’ensemble des intervenants pour établir la procédure à suivre afin de prévenir d’autres incidents et soulignent plus particulièrement l’importance de mettre en place une politique de conservation des données indéfectible.
Pour en savoir plus, lisez l’article intégral de Lucy Saddleton daté du 7 avril 2022 et intitulé « How should legal departments prepare for, respond to and remediate data breaches? » (en anglais seulement) dans Canadian Lawyer.