Écrit par Ruth E. Promislow and Michael R. Whitt Q.C.

Ce n’est pas le genre de nouvelles qu’un géant de la vente au détail veut faire. En mai 2017, Target a accepté un règlement de 18,5 millions de dollars pour résoudre une enquête de 47 États sur un piratage massif de 2013. Ce règlement a mis le coût total de l’atteinte de Target à 202 millions de dollars. Plus de 40 millions de clients ont vu leurs informations de carte de crédit ou de débit compromises après que des pirates informatiques ont accédé au serveur de Target. L’accès a été obtenu grâce à des informations d’identification volées à un fournisseur tiers.

Les entreprises peuvent être plus vulnérables qu’elles ne le pensent en matière de cybersécurité, et les hypothèses dangereuses peuvent avoir de graves conséquences. Le groupe cybersécurité de Bennett Jones a organisé des tables rondes au cours desquelles des membres du cabinet se sont joints à des experts en assurance et en sécurité pour discuter des tendances et des menaces émergentes en matière de cybersécurité. Des panels ont eu lieu à Toronto et à Calgary. Voici les principaux points à retenir :

1. La cyberassurance peut faire partie de la solution, mais il y a des pièges potentiels. C’est un marché en développement et tout n’est pas couvert ou bien intégré avec d’autres éléments de couverture. Il est également essentiel d’identifier la portée de la couverture et de l’adapter aux besoins d’une entreprise. Ce n’est généralement pas un produit standard.
2. Les fournisseurs tiers sont un élément essentiel de la cybersécurité. Les entreprises doivent les faire participer à leur stratégie globale, poser les bonnes questions et surveiller leur performance. La responsabilité ultime ne peut pas être déléguée à un tiers, mais les risques de tiers peuvent être gérés.
3. Les employés qui sont bien formés et motivés sont, à certains égards, les « agents intelligents » de l’entreprise et l’une des lignes de défense les plus solides. L’avers est également vrai : les initiés, que ce soit par accident ou intentionnellement, se sont avérés être l’une des principales causes de cyberattaques graves.
4. Les administrateurs peuvent être exposés. Il y a la possibilité d’exposer personnellement les administrateurs à des atteintes à la cybersécurité. De plus, dans certaines réclamations contre une organisation violée, les demandeurs n’ont peut-être pas besoin de prouver des dommages-intérêts réels pour avoir gain de cause sur la base du nouveau délit d'« intrusion dans l’isolement ».
5. Une compréhension complète des actifs et des systèmes d’information, des risques et des vulnérabilités de l’organisation est nécessaire pour la protéger. Cela comprend le fait de savoir qui a accès à des renseignements confidentiels et si tous ceux qui en ont vraiment besoin en ont vraiment besoin.

Les événements ont été animés par Stephen Bowman, associé directeur du bureau de Toronto de Bennett Jones, et Martin Kratz, associé en propriété intellectuelle et technologie à Calgary. Ruth Promislow, associée en litige commercial chez Bennett Jones, a été membre du comité à Toronto et à Calgary. Stephen Burns, le chef de la propriété intellectuelle de l’entreprise, faisait partie du panel à Toronto. Lionel Cochey de Bennett Jones, directeur, gouvernance de la sécurité de l’information, gestion des risques et conformité, faisait partie du panel de Calgary avec michael Whitt, chef des technologies de l’information. Ils ont été rejoints par:

• Toronto — Robert Beggs, fondateur et chef de la direction de Digital Defence
• Toronto —Jacqueline Detablan, vice-présidente, gestionnaire régionale de la responsabilité professionnelle, AIG
• Calgary — David Gray, vice-président chez Jones Brown, une société privée canadienne de courtage d’assurance et de conseil stratégique

Ruth et Michael dirigent le groupe de cybersécurité deBennett Jones.

Ces événements font partie d’une série de séminaires sur la cybersécurité prévus pour 2017, et Bennett Jones remercie les panélistes et les participants d’avoir fait d’eux un tel succès.