À une époque où les menaces numériques sont plus sophistiquées que jamais, la cybersécurité est devenue une préoccupation urgente pour les entreprises familiales. Ces entreprises sont des cibles attrayantes pour les cyberattaques et doivent trouver un équilibre entre les objectifs essentiels de se protéger tout en maintenant l’efficacité opérationnelle.
Mon collègue de Bennett Jones, Suzie Suliman, m’a récemment rejoint en tant qu’invitée sur le Balado Beyond Succession. Suzie est avocate en droit des sociétés et en propriété intellectuelle et aide les clients du cabinet à protéger leurs actifs technologiques. Elle rédige et négocie régulièrement des ententes commerciales en matière de cybersécurité. Voilà quelques-uns des points saillants de notre discussion.
Les cybermenaces augmentent, en particulier dans les environnements infonuagiques où résident des données critiques. Les rançongiciels sont les plus courants, souvent associés au vol de données à des fins de double extorsion. L’ingénierie sociale et l’hameçonnage s’intensifient également, aidés par l’intelligence artificielle (IA). Les courtiers d’accès vendent maintenant des vulnérabilités du système sur le marché noir, ce qui rend les attaques plus ciblées et plus sophistiquées.
Les entreprises familiales sont des réseaux interconnectés d’entreprises et d’individus, offrant de multiples points d’entrée aux auteurs de menaces. Les données personnelles accessibles au public facilitent l’ingénierie sociale réaliste. Historiquement, ces organisations privilégient l’efficacité à la cybersécurité, ce qui les rend attrayantes pour les attaquants à la recherche de cibles précieuses mais relativement non protégées.
Oui, de nombreuses organisations privilégient l’efficacité à la sécurité, considérant souvent la cybersécurité comme un fardeau. Parmi les autres lacunes, mentionnons le manque de formation continue des utilisateurs et la faible sensibilisation aux menaces émergentes. Les risques liés aux tiers augmentent également : les fournisseurs peuvent introduire des vulnérabilités, de sorte que les contrats et les processus d’intégration doivent inclure des mesures de protection de la cybersécurité et une diligence raisonnable.
La formation est essentielle. Les entreprises familiales devraient renforcer leur sensibilisation à la cybersécurité grâce à des formations régulières sur des rôles spécifiques et à des simulations d’hameçonnage. Ils peuvent également lier la cyberhygiène aux évaluations de rendement et à la rémunération, tout en appliquant des politiques de mots de passe forts, des directives d’utilisation des appareils et un accès limité aux données. Ces mesures aident à réduire la probabilité d’erreurs humaines entraînant des atteintes.
Les entreprises familiales font face à des pertes financières dues au paiement de rançons, à la fraude, aux coûts de recouvrement et à l’interruption des activités. Les atteintes à des données commerciales ou personnelles sensibles peuvent entraîner des dommages à la réputation, des enquêtes réglementaires, des avis de violation obligatoires et même des recours collectifs. La perte de propriété intellectuelle menace également l’avantage concurrentiel à long terme d’une entreprise.
Bien qu’elles ne soient pas universellement obligatoires au Canada, en particulier à l’extérieur du Québec, des clauses de protection des données strictes sont une pratique exemplaire. Les contrats doivent être conformes aux lois sur la protection des renseignements personnels, au signalement des incidents et aux mesures de sécurité. Inclure les indemnités, les assurances et les limitations de responsabilité. Les entreprises devraient également examiner les ententes existantes, en s’assurant que les fournisseurs respectent leurs normes et partagent la responsabilité en cas de violation.
Concentrez-vous sur l’identification et la protection de vos « joyaux de la couronne », les données les plus sensibles. Adaptez la sécurité en fonction de la sensibilité des données. Établissez des politiques solides pour les mots de passe, les sauvegardes et la réponse aux incidents. Abordez le travail à distance, l’utilisation des appareils et l’IA avec des directives claires. Des politiques solides alignées sur les niveaux de risque sont essentielles à la résilience.
Un plan d’intervention en cas d’incident décrit comment gérer différents types de cyberincidents. Il définit les niveaux d’escalade, les rôles et les protocoles de communication. Il comprend des contacts comme des assureurs et des experts judiciaires. L’objectif est de réagir rapidement, de minimiser les dommages et de respecter les obligations légales. Gardez toujours une copie physique du plan à portée de main au cas où les systèmes seraient compromis.
Commencez par une évaluation des risques. Ils devraient se demander : quels sont nos actifs de données les plus critiques? Quelles sont nos plus grandes menaces? Respectons-nous les lois sur la protection de la vie privée? Surveillons-nous les menaces? Quels sont les outils d’atténuation, comme les assurances ou les mesures de protection des fournisseurs? Passez en revue les incidents passés pour apprendre et améliorer votre approche à l’avenir.
La prochaine génération peut se faire la championne de la cybersécurité en tirant parti de sa connaissance approfondie de l’entreprise et de son aisance avec la technologie. Ils peuvent stimuler l’investissement dans les cyberbudgets, promouvoir des politiques solides et favoriser une culture de sécurité. Leur leadership contribue à faire en sorte que la cybersécurité devienne une priorité stratégique, et pas seulement technique.
L’IA accélère la sophistication des menaces et permet des attaques plus rapides et plus convaincantes. Les courtiers d’accès sont de plus en plus actifs, vendant des vulnérabilités à des acteurs malveillants. Pendant ce temps, les risques pour la réputation sont amplifiés par une exposition instantanée en ligne. Les entreprises familiales doivent gérer leur présence numérique avec soin et garder une longueur d’avance en intégrant la cybersécurité dans tous les aspects de la stratégie d’affaires.
L’épisode complet du balado Beyond Succession sur la cybersécurité et les entreprises familiales est disponible ici. Si vous souhaitez discuter de la façon dont les entreprises familiales peuvent se protéger contre les cyberattaques tout en maintenant l’efficacité opérationnelle, veuillez communiquer avec Leah Tolton.