Sommaire

La gestion du risque informatique est un enjeu de plus en plus important pour les organisations de toutes tailles et de toutes provenances. On entend par « risque informatique » le risque qu'une organisation subisse des dommages ou des pertes ou doive assumer une responsabilité du fait d'une défaillance de ses systèmes de technologie de l'information ou d'une violation de ceux-ci ou encore de l'utilisation non autorisée ou de la divulgation de données sensibles, protégées ou réglementées lui appartenant. Des observateurs ont affirmé qu'il existe deux types d'organisations : celles qui ont été victimes d'une attaque cybernétique et celles qui l'ont été, mais qui ne le savent pas encore.

Dans le domaine de la cybersécurité, BLG possède l'une des équipes juridiques les plus talentueuses et les plus expérimentées du Canada. Ses avocats, riches d'une vaste expérience et de solides connaissances spécialisées en matière de gestion du risque informatique et de services juridiques de gestion de crise, sont rompus à la défense de cyberlitiges complexes (notamment des actions collectives).

Services offerts en matière de cybersécurité et de gestion du risque informatique

Programme de gestion du risque informatique

Une gestion efficace du risque informatique s'appuie sur un programme complet de gestion qui comprend le repérage, l'évaluation et la priorisation desdits risques de même que le choix de solutions adaptées aux risques cernés.

BLG peut prêter main-forte à ses clients pour ce qui est de l'élaboration et de la mise en œuvre d'un programme de gestion du risque informatique en offrant des conseils relatifs aux exigences prévues par la loi et aux directives réglementaires, en participant à l'exécution d'audits et d'évaluations, en fournissant des conseils au chapitre des solutions d'atténuation des risques de même qu'en rédigeant ou en révisant des documents liés au programme.

Plan d'intervention en cas d'incident

Dans le cadre d'une saine gestion du risque informatique, il importe de se doter de plans d'intervention en cas d'incident écrits (y compris des lignes directrices et des protocoles divers) qui permettent une intervention rapide, licite et efficace à la suite de divers types d'incidents touchant la cybersécurité.

BLG peut aider à l'élaboration de plans d'intervention en cas d'incident en offrant des conseils portant sur les exigences prévues par la loi et les directives réglementaires de même qu'en rédigeant ou en révisant lesdits plans et les documents connexes (y compris les protocoles et les lignes directrices en matière de communications, de tenue de dossier, de collecte de preuve, d'évaluation des risques, d'avis et de partage d'information ainsi que de revue postérieure à l'incident).

Programme d'évaluation, de formation et d'exercices

Une gestion efficace du risque informatique nécessite la mise en place d'un programme d'évaluation, de formation et d'exercices, grâce auquel on s'assure que les plans d'intervention en cas d'incident sont à jour et que les systèmes pertinents liés au personnel et aux technologies de l'information sont prêts à réagir.

BLG peut épauler ses clients pour ce qui est de la conception et de la mise en œuvre d'un programme d'évaluation, de formation et d'exercices en leur procurant des conseils sur les exigences prévues par la loi et les directives réglementaires, en rédigeant ou en révisant les documents liés à ce programme, en participant aux activités prévues au programme (p. ex., les exercices de simulation) et en fournissant des évaluations et des conseils après la tenue d'activités.

Pratiques/procédures et formation

Pour gérer efficacement le risque informatique, il faut par ailleurs mettre en place des pratiques et des procédures visant l'utilisation des systèmes de technologie de l'information de même que fournir des renseignements et de la formation continue au personnel pertinent (notamment les administrateurs et la haute direction).

BLG peut prêter assistance en ce qui concerne les pratiques et les procédures de gestion du risque informatique ainsi que la formation connexe en fournissant des conseils portant sur les exigences prévues par la loi et les directives réglementaires (notamment au chapitre de la protection de la vie privée, de l'embauche et de l'orientation du personnel de même que du suivi et du respect de la conformité), en rédigeant ou en révisant les politiques et procédures, en prêtant main-forte pour ce qui est de la formation et en offrant des conseils sur le suivi, l'évaluation et le respect de la conformité.

Gestion relative aux partenaires commerciaux

Dans le cadre d'une saine gestion du risque informatique, les contrats conclus avec des partenaires commerciaux (p. ex., les vendeurs, fournisseurs de services et autres, sous-traitants) doivent contenir des clauses relatives aux risques informatiques, particulièrement les ententes qui prévoient le transfert d'information réglementée (p. ex., des renseignements personnels) à des partenaires commerciaux, notamment dans le cadre du recours à des services d'infonuagique et à d'autres ententes d'impartition.

BLG peut aider ses clients en ce qui a trait à la gestion du risque lié aux partenaires commerciaux en leur procurant des conseils portant sur les exigences prévues par la loi et les directives réglementaires, en préparant des listes de vérification aux fins de contrôles diligents, en rédigeant ou en révisant des formulaires d'approvisionnement ou des contrats types, en rédigeant ou en négociant des contrats avec des partenaires commerciaux, en rédigeant ou en révisant des politiques et procédures internes de même qu'en procédant à la vérification de la conformité des partenaires commerciaux aux exigences contractuelles et en assurant le suivi connexe.

Conseils à l'intention du CA et de la haute direction

La gestion du risque informatique est une question qui concerne la haute direction. Il incombe aux administrateurs et aux dirigeants de veiller à ce que leur entreprise ou organisation gère ce risque et réagisse efficacement aux incidents connexes.

BLG peut contribuer à la sensibilisation des administrateurs et des membres de la haute direction et les conseiller afin qu'ils soient en mesure de poser les bonnes questions, de respecter leurs obligations en vertu de la loi ainsi que de mettre en place les registres appropriés en matière de contrôle diligent et d'appréciation commerciale.

Services offerts en matière de cybersécurité et de gestion du risque informatique







Présentations et publications

Publications

Expériences et compétences

Gestion du risque informatique et gestion de crise

L'expérience récente de BLG en matière de gestion du risque informatique et de gestion de crise comprend notamment ce qui suit :

  • Nous avons œuvré pour de nombreux clients (y compris des sociétés exerçant leurs activités dans les secteurs des services financiers et du commerce de détail) relativement à la gestion d'atteintes à la sécurité des données dans divers territoires canadiens, notamment en enquêtant sur ces atteintes; nous avons agi à titre de personne-ressource pour les parties intéressées et les personnes concernées, les médias, les consultants techniques externes et les commissaires à la vie privée (tels le Commissariat à la protection de la vie privée du Canada, les commissaires à l'information et à la protection de la vie privée de l'Alberta et de la Colombie-Britannique, et la Commission d'accès à l'information du Québec); nous avons donné des conseils relatifs aux obligations d'information; nous avons fourni un soutien pour la rédaction d'avis et, de façon générale, nous avons contribué à la mise en œuvre d'une stratégie de réponse adéquate.
  • Nous avons représenté divers clients dans le cadre d' enquêtes menées par des commissaires à la vie privée et des organismes de réglementation, notamment les suivants :
    • une importante société canadienne d'évaluation et d'analyse du crédit; une multinationale américaine inscrite à la cote de la Bourse de New York (NYSE); un chef de file international du divertissement familial et des médias interactifs;
    • une multinationale du secteur des technologies;
    • diverses institutions financières.

Cyberlitiges et actions collectives

Les avocats plaidants de BLG possèdent une riche expérience de tous les aspects du cyberlitige, et ils ont agi comme conseillers dans certaines des causes les plus en vue en matière de cybersécurité et de respect de la vie privée au Canada, notamment pour le compte de Google, de Bell Canada ainsi que de plusieurs institutions financières, organisations de soins de santé et détaillants. L'expérience de BLG à ce titre comprend notamment ce qui suit :

  • Nous avons représenté un organisme de réglementation des services financiers nommé comme défendeur dans une action collective liée à la perte de renseignements personnels contenus dans un ordinateur portatif. Nous avons réussi à faire en sorte que l'action soit rejetée.
  • Nous avons représenté une importante société de financement automobile nommée comme défenderesse dans une action collective liée à la perte d'une cassette de données qui contenait des renseignements personnels. Nous avons réussi à faire en sorte que l'action soit rejetée.
  • Nous avons représenté Google, défenderesse dans une possible action collective portant sur le respect de la vie privée (actuellement à l'étape de la préautorisation) au nom de personnes dont les données électroniques auraient été transmises au moyen d'une connexion Internet sans fil non sécurisée et dont les renseignements personnels auraient ainsi été interceptés.
En savoir plus ↓

Marques de reconnaissance

Le groupe Cybersécurité ou ses membres sont cités dans :

  • L'édition 2017 de Acritas Star, Cyber Risk and Data
  • L'édition 2017 de Chambers Canada — Canada's Leading Lawyers for Business (Respect de la vie privée et protection des renseignements personnels)
  • Les éditions 2016 et 2017 de The Best Lawyers in Canada® (Information Technology Law)
  • L'édition 2016 edition de The Canadian Legal Lexpert® Directory (Computer and IT Law)
  • L'édition 2013 de Lexpert® magazine, Canadian expert on privacy law
  • Éloïse Gratton reçu le Clawbies : Canadian Legal Blog Award en 2014, ou prix du meilleur nouveau blogue juridique pour son blogue sur la protection de la vie privée