Cybersécurité

Sommaire

La gestion du risque informatique est un enjeu de plus en plus important pour les organisations de toutes tailles et de toutes provenances. On entend par « risque informatique » le risque qu'une organisation subisse des dommages ou des pertes ou doive assumer une responsabilité du fait d'une défaillance de ses systèmes de technologie de l'information ou d'une violation de ceux-ci ou encore de l'utilisation non autorisée ou de la divulgation de données sensibles, protégées ou réglementées lui appartenant. Des observateurs ont affirmé qu'il existe deux types d'organisations : celles qui ont été victimes d'une attaque cybernétique et celles qui l'ont été, mais qui ne le savent pas encore.

Dans le domaine de la cybersécurité, BLG possède l'une des équipes juridiques les plus talentueuses et les plus expérimentées du Canada. Ses avocats, riches d'une vaste expérience et de solides connaissances spécialisées en matière de gestion du risque informatique et de services juridiques de gestion de crise, sont rompus à la défense de cyberlitiges complexes (notamment des actions collectives).

Services offerts en matière de cybersécurité et de gestion du risque informatique

Programme de gestion du risque informatique

Une gestion efficace du risque informatique s'appuie sur un programme complet de gestion qui comprend le repérage, l'évaluation et la priorisation desdits risques de même que le choix de solutions adaptées aux risques cernés.

BLG peut prêter main-forte à ses clients pour ce qui est de l'élaboration et de la mise en œuvre d'un programme de gestion du risque informatique en offrant des conseils relatifs aux exigences prévues par la loi et aux directives réglementaires, en participant à l'exécution d'audits et d'évaluations, en fournissant des conseils au chapitre des solutions d'atténuation des risques de même qu'en rédigeant ou en révisant des documents liés au programme.

Plan d'intervention en cas d'incident

Dans le cadre d'une saine gestion du risque informatique, il importe de se doter de plans d'intervention en cas d'incident écrits (y compris des lignes directrices et des protocoles divers) qui permettent une intervention rapide, licite et efficace à la suite de divers types d'incidents touchant la cybersécurité.

BLG peut aider à l'élaboration de plans d'intervention en cas d'incident en offrant des conseils portant sur les exigences prévues par la loi et les directives réglementaires de même qu'en rédigeant ou en révisant lesdits plans et les documents connexes (y compris les protocoles et les lignes directrices en matière de communications, de tenue de dossier, de collecte de preuve, d'évaluation des risques, d'avis et de partage d'information ainsi que de revue postérieure à l'incident).

Programme d'évaluation, de formation et d'exercices

Une gestion efficace du risque informatique nécessite la mise en place d'un programme d'évaluation, de formation et d'exercices, grâce auquel on s'assure que les plans d'intervention en cas d'incident sont à jour et que les systèmes pertinents liés au personnel et aux technologies de l'information sont prêts à réagir.

BLG peut épauler ses clients pour ce qui est de la conception et de la mise en œuvre d'un programme d'évaluation, de formation et d'exercices en leur procurant des conseils sur les exigences prévues par la loi et les directives réglementaires, en rédigeant ou en révisant les documents liés à ce programme, en participant aux activités prévues au programme (p. ex., les exercices de simulation) et en fournissant des évaluations et des conseils après la tenue d'activités.

Pratiques/procédures et formation

Pour gérer efficacement le risque informatique, il faut par ailleurs mettre en place des pratiques et des procédures visant l'utilisation des systèmes de technologie de l'information de même que fournir des renseignements et de la formation continue au personnel pertinent (notamment les administrateurs et la haute direction).

BLG peut prêter assistance en ce qui concerne les pratiques et les procédures de gestion du risque informatique ainsi que la formation connexe en fournissant des conseils portant sur les exigences prévues par la loi et les directives réglementaires (notamment au chapitre de la protection de la vie privée, de l'embauche et de l'orientation du personnel de même que du suivi et du respect de la conformité), en rédigeant ou en révisant les politiques et procédures, en prêtant main-forte pour ce qui est de la formation et en offrant des conseils sur le suivi, l'évaluation et le respect de la conformité.

Gestion relative aux partenaires commerciaux

Dans le cadre d'une saine gestion du risque informatique, les contrats conclus avec des partenaires commerciaux (p. ex., les vendeurs, fournisseurs de services et autres, sous-traitants) doivent contenir des clauses relatives aux risques informatiques, particulièrement les ententes qui prévoient le transfert d'information réglementée (p. ex., des renseignements personnels) à des partenaires commerciaux, notamment dans le cadre du recours à des services d'infonuagique et à d'autres ententes d'impartition.

BLG peut aider ses clients en ce qui a trait à la gestion du risque lié aux partenaires commerciaux en leur procurant des conseils portant sur les exigences prévues par la loi et les directives réglementaires, en préparant des listes de vérification aux fins de contrôles diligents, en rédigeant ou en révisant des formulaires d'approvisionnement ou des contrats types, en rédigeant ou en négociant des contrats avec des partenaires commerciaux, en rédigeant ou en révisant des politiques et procédures internes de même qu'en procédant à la vérification de la conformité des partenaires commerciaux aux exigences contractuelles et en assurant le suivi connexe.

Conseils à l'intention du CA et de la haute direction

La gestion du risque informatique est une question qui concerne la haute direction. Il incombe aux administrateurs et aux dirigeants de veiller à ce que leur entreprise ou organisation gère ce risque et réagisse efficacement aux incidents connexes.

BLG peut contribuer à la sensibilisation des administrateurs et des membres de la haute direction et les conseiller afin qu'ils soient en mesure de poser les bonnes questions, de respecter leurs obligations en vertu de la loi ainsi que de mettre en place les registres appropriés en matière de contrôle diligent et d'appréciation commerciale.

Services offerts en matière de cybersécurité et de gestion du risque informatique

Programme de gestion du risque informatique [+]

Plan d’intervention en cas d’incident [+]

Programme d’évaluation, de formation et d’exercices [+]

Pratiques/procédures et formation [+]

Gestion relative aux partenaires commerciaux [+]

Conseils à l’intention du CA et de la haute direction [+]

Présentations et publications

Cité (Ira Nishisato), "McDonald’s Canada says 95,000 affected in careers website hack," The Globe and Mail, 31 mars 2017.
Interviewé (Ira Nishisato) (débute à 1:22), « "Hackers breach Forces.ca, redirecting users to official Chinese state website," CityTV, 17 novembre 2016.
Cité (Ira Nishisato), « Third-party service providers can be ‘hornets nest’ in cyber security: ICRMC speaker », Canadian Underwriter, 2 avril 2016.
Ira Nishisato, « Operationalizing Incident Response », ICRMC — From Governance to Response: An Advanced Cyber Risk Management, Toronto, 1^er avril 2016. (en anglais)
Cité (Ira Nishisato), « Unto the [Data] Breach », Corporate Risk Canada, Winter Edition 2015. (en anglais)
Cité (Ira Nishisato), « Cybersecurity Comes to the Boardroom », Lexpert® Magazine, octobre 2015. (en anglais)
Interviewé (Ira Nishisato), « Cybersecurity the top business risk for 2015 », Business News Network, 23 décembre 2014. (en anglais)

Publications

« Cybersecurity Guidance From Investment Industry Organization », mai 2016 (en anglais).
« Cyber Incident Response Plans — Test, Train And Exercise », mai 2016 (en anglais).
« Do insurers have a duty to defend as a result of a failure to comply with PCI — DSS », mai 2016 (en anglais).
« Government Guidance for Preventing and Responding to Ransomware Attacks », avril 2016 (en anglais).
« Internet of Things: OPC Publishes Research Paper on Privacy and Security Risks Associated with Retail and Home Environments », février 2016 (en anglais).
« Apple’s encryption fight against the U.S. government could spill into Canada », février 2016 (en anglais).
« Cyber Risk Management — Insider Risk », février 2016 (en anglais).
« Warrant Issued For Malware Under Canada's Anti-Spam Law », janvier 2016 (en anglais).
« Cyber Risk Management — PCI DSS Requirements For Incident Response Plan », janvier 2016 (en anglais).
« An Introduction To PCI DSS », janvier 2016 (en anglais).
« Cybersecurity Guidance From Investment Industry Organization », janvier 2016 (en anglais).
« European Parliament, Council, and Commission agree on draft of first EU-wide cybersecurity legislation », janvier 2016 (en anglais).
« Cybersecurity Indictment Unsealed on Theft of 100 Million Records », novembre 2015 (en anglais).
« Sedona Conference Publishes Information Security Guidelines for Law Firms », novembre 2015 (en anglais).
« Cyber-Risk Management — Data Incident Notification Obligations », octobre 2015 (en anglais).
« Privacy Commissioners Issue Guidance for BYOD Programs », octobre 2015.
« OCIE Embarks on Second Round of Investigations Into Cybersecurity Among Registrants », septembre 2015 (en anglais).
« Class Action by Banks against Target Certified », septembre 2015 (en anglais).
« Internet of Things and Cybersecurity », août 2015 (en anglais).
« Regulatory Guidance For Safeguarding Personal Information », juin 2015 (en anglais).
« Intelligent Buildings and Cyber Security », juin 2015 (en anglais).
« U.S. Securities and Exchange Commission Issues Cybersecurity Guidance Update », mai 2015 (en anglais).
« U.S. Department of Justice Issues Guidance for Cyber Incident Planning and Response », mai 2015 (en anglais).
« How much cybersecurity is enough? », avril 2015 (en anglais).
« Cybersecurity In M&A Transactions », avril 2015 (en anglais).
« Outsourcing, Procurement and Cybersecurity », avril 2015 (en anglais).
« Cyber-Risk Management – Guidance for Corporate Directors », avril 2015 (en anglais).
« Cyber-Risk Management Guidance From Financial Institution Regulators », mars 2015 (en anglais).

« Façonner l’économie canadienne : les principaux secteurs innovants », janvier 2019.
« Obligations canadiennes relatives aux atteintes à la sécurité des renseignements personnels : préparation à la conformité », avril 2018.
« Nouveau rapport sur la LPRPDE du Comité ETHI en prévision de l’évaluation du caractère adéquat du RGPD », mars 2018.
« Les 10 principaux risques juridiques en affaires pour 2018 », janvier 2018.
« Importants changements apportés aux pratiques optimales sur les mots de passe », octobre 2017.
« Récemment publié, le règlement de la LPRPDE concernant les atteintes aux mesures de sécurité fait l'objet d'une consultation », septembre 2017.
« Les mesures visant à faire respecter la réglementation font ressortir la nécessité de créer un cadre de gouvernance pour la sécurité des renseignements », février 2017.
« Les 10 principaux risques juridiques en affaires pour 2017 », janvier 2017.
« Loi canadienne anti-pourriel — Directives relatives au règlement d'application », août 2016.
« La bataille que mène Apple contre le gouvernement des États-Unis relativement au chiffrement des données pourrait avoir des répercussions au Canada », février 2016.

Expériences et compétences

Gestion du risque informatique et gestion de crise

L'expérience récente de BLG en matière de gestion du risque informatique et de gestion de crise comprend notamment ce qui suit :

Nous avons œuvré pour de nombreux clients (y compris des sociétés exerçant leurs activités dans les secteurs des services financiers et du commerce de détail) relativement à la gestion d'atteintes à la sécurité des données dans divers territoires canadiens, notamment en enquêtant sur ces atteintes; nous avons agi à titre de personne-ressource pour les parties intéressées et les personnes concernées, les médias, les consultants techniques externes et les commissaires à la vie privée (tels le Commissariat à la protection de la vie privée du Canada, les commissaires à l'information et à la protection de la vie privée de l'Alberta et de la Colombie-Britannique, et la Commission d'accès à l'information du Québec); nous avons donné des conseils relatifs aux obligations d'information; nous avons fourni un soutien pour la rédaction d'avis et, de façon générale, nous avons contribué à la mise en œuvre d'une stratégie de réponse adéquate.
Nous avons représenté divers clients dans le cadre d'enquêtes menées par des commissaires à la vie privée et des organismes de réglementation, notamment les suivants :
- une importante société canadienne d'évaluation et d'analyse du crédit; une multinationale américaine inscrite à la cote de la Bourse de New York (NYSE); un chef de file international du divertissement familial et des médias interactifs;
- une multinationale du secteur des technologies;
- diverses institutions financières.

En savoir plus ↓

Cyberlitiges et actions collectives

Les avocats plaidants de BLG possèdent une riche expérience de tous les aspects du cyberlitige, et ils ont agi comme conseillers dans certaines des causes les plus en vue en matière de cybersécurité et de respect de la vie privée au Canada, notamment pour le compte de Google, de Bell Canada ainsi que de plusieurs institutions financières, organisations de soins de santé et détaillants. L'expérience de BLG à ce titre comprend notamment ce qui suit :

Nous avons représenté un organisme de réglementation des services financiers nommé comme défendeur dans une action collective liée à la perte de renseignements personnels contenus dans un ordinateur portatif. Nous avons réussi à faire en sorte que l'action soit rejetée.
Nous avons représenté une importante société de financement automobile nommée comme défenderesse dans une action collective liée à la perte d'une cassette de données qui contenait des renseignements personnels. Nous avons réussi à faire en sorte que l'action soit rejetée.
Nous avons représenté Google, défenderesse dans une possible action collective portant sur le respect de la vie privée (actuellement à l'étape de la préautorisation) au nom de personnes dont les données électroniques auraient été transmises au moyen d'une connexion Internet sans fil non sécurisée et dont les renseignements personnels auraient ainsi été interceptés.

En savoir plus ↓

Marques de reconnaissance

Le groupe Cybersécurité ou ses membres sont cités dans :

L'édition 2018 de Chambers Canada — Canada's Leading Lawyers for Business (Respect de la vie privée et protection des renseignements personnels)
L'édition 2018 (et les précédentes) de The Best Lawyers in Canada® (Droir des technologies de l'information).
L'édition 2017 de Acritas Star, Cyber Risk and Data
L'édition 2016 du Lexology Client Choice Awards en tant qu'unique gagnant dans la catégorie « Technologies de l'information » en Colombie-Britannique.
L'édition 2013 de Lexpert® magazine, expert canadien en droit du respect à la vie privée
Éloïse Gratton reçu le Clawbies : Canadian Legal Blog Award en 2014, ou prix du meilleur nouveau blogue juridique pour son blogue sur la protection de la vie privée
Depuis l'édition 2001 de The Canadian Legal Lexpert® Directory (Computer and IT Law)

Cybersécurité

Publications reliées

Sommaire

Services offerts en matière de cybersécurité et de gestion du risque informatique

Services offerts en matière de cybersécurité et de gestion du risque informatique

Présentations et publications

Publications

Expériences et compétences

Gestion du risque informatique et gestion de crise

En savoir plus ↓

En savoir moins ↑

Cyberlitiges et actions collectives

En savoir plus ↓

Cyberlitiges et actions collectives

En savoir moins ↑

Marques de reconnaissance