La gestion du risque informatique est un enjeu de plus en plus important pour les organisations de toutes tailles et de toutes provenances. On entend par « risque informatique » le risque qu'une organisation subisse des dommages ou des pertes ou doive assumer une responsabilité du fait d'une défaillance de ses systèmes de technologie de l'information ou d'une violation de ceux-ci ou encore de l'utilisation non autorisée ou de la divulgation de données sensibles, protégées ou réglementées lui appartenant. Des observateurs ont affirmé qu'il existe deux types d'organisations : celles qui ont été victimes d'une attaque cybernétique et celles qui l'ont été, mais qui ne le savent pas encore.
Dans le domaine de la cybersécurité, BLG possède l'une des équipes juridiques les plus talentueuses et les plus expérimentées du Canada. Ses avocats, riches d'une vaste expérience et de solides connaissances spécialisées en matière de gestion du risque informatique et de services juridiques de gestion de crise, sont rompus à la défense de cyberlitiges complexes (notamment des actions collectives).
Services offerts en matière de cybersécurité et de gestion du risque informatique
Programme de gestion du risque informatique
Une gestion efficace du risque informatique s'appuie sur un programme complet de gestion qui comprend le repérage, l'évaluation et la priorisation desdits risques de même que le choix de solutions adaptées aux risques cernés.
BLG peut prêter main-forte à ses clients pour ce qui est de l'élaboration et de la mise en œuvre d'un programme de gestion du risque informatique en offrant des conseils relatifs aux exigences prévues par la loi et aux directives réglementaires, en participant à l'exécution d'audits et d'évaluations, en fournissant des conseils au chapitre des solutions d'atténuation des risques de même qu'en rédigeant ou en révisant des documents liés au programme.
Plan d'intervention en cas d'incident
Dans le cadre d'une saine gestion du risque informatique, il importe de se doter de plans d'intervention en cas d'incident écrits (y compris des lignes directrices et des protocoles divers) qui permettent une intervention rapide, licite et efficace à la suite de divers types d'incidents touchant la cybersécurité.
BLG peut aider à l'élaboration de plans d'intervention en cas d'incident en offrant des conseils portant sur les exigences prévues par la loi et les directives réglementaires de même qu'en rédigeant ou en révisant lesdits plans et les documents connexes (y compris les protocoles et les lignes directrices en matière de communications, de tenue de dossier, de collecte de preuve, d'évaluation des risques, d'avis et de partage d'information ainsi que de revue postérieure à l'incident).
Programme d'évaluation, de formation et d'exercices
Une gestion efficace du risque informatique nécessite la mise en place d'un programme d'évaluation, de formation et d'exercices, grâce auquel on s'assure que les plans d'intervention en cas d'incident sont à jour et que les systèmes pertinents liés au personnel et aux technologies de l'information sont prêts à réagir.
BLG peut épauler ses clients pour ce qui est de la conception et de la mise en œuvre d'un programme d'évaluation, de formation et d'exercices en leur procurant des conseils sur les exigences prévues par la loi et les directives réglementaires, en rédigeant ou en révisant les documents liés à ce programme, en participant aux activités prévues au programme (p. ex., les exercices de simulation) et en fournissant des évaluations et des conseils après la tenue d'activités.
Pratiques/procédures et formation
Pour gérer efficacement le risque informatique, il faut par ailleurs mettre en place des pratiques et des procédures visant l'utilisation des systèmes de technologie de l'information de même que fournir des renseignements et de la formation continue au personnel pertinent (notamment les administrateurs et la haute direction).
BLG peut prêter assistance en ce qui concerne les pratiques et les procédures de gestion du risque informatique ainsi que la formation connexe en fournissant des conseils portant sur les exigences prévues par la loi et les directives réglementaires (notamment au chapitre de la protection de la vie privée, de l'embauche et de l'orientation du personnel de même que du suivi et du respect de la conformité), en rédigeant ou en révisant les politiques et procédures, en prêtant main-forte pour ce qui est de la formation et en offrant des conseils sur le suivi, l'évaluation et le respect de la conformité.
Gestion relative aux partenaires commerciaux
Dans le cadre d'une saine gestion du risque informatique, les contrats conclus avec des partenaires commerciaux (p. ex., les vendeurs, fournisseurs de services et autres, sous-traitants) doivent contenir des clauses relatives aux risques informatiques, particulièrement les ententes qui prévoient le transfert d'information réglementée (p. ex., des renseignements personnels) à des partenaires commerciaux, notamment dans le cadre du recours à des services d'infonuagique et à d'autres ententes d'impartition.
BLG peut aider ses clients en ce qui a trait à la gestion du risque lié aux partenaires commerciaux en leur procurant des conseils portant sur les exigences prévues par la loi et les directives réglementaires, en préparant des listes de vérification aux fins de contrôles diligents, en rédigeant ou en révisant des formulaires d'approvisionnement ou des contrats types, en rédigeant ou en négociant des contrats avec des partenaires commerciaux, en rédigeant ou en révisant des politiques et procédures internes de même qu'en procédant à la vérification de la conformité des partenaires commerciaux aux exigences contractuelles et en assurant le suivi connexe.
Conseils à l'intention du CA et de la haute direction
La gestion du risque informatique est une question qui concerne la haute direction. Il incombe aux administrateurs et aux dirigeants de veiller à ce que leur entreprise ou organisation gère ce risque et réagisse efficacement aux incidents connexes.
BLG peut contribuer à la sensibilisation des administrateurs et des membres de la haute direction et les conseiller afin qu'ils soient en mesure de poser les bonnes questions, de respecter leurs obligations en vertu de la loi ainsi que de mettre en place les registres appropriés en matière de contrôle diligent et d'appréciation commerciale.