« Vous serez bien mieux préparé à gérer ces menaces si vous restez maître de la situation », affirme l’avocat spécialisé en violations de données

Pour les administrateurs de régimes de retraite, la question n’est plus de savoir « si » des cybermenaces frapperont, mais plutôt « quand » elles frapperont. Les attaques par hameçonnage et rançongiciel étant de plus en plus courantes et dommageables, le risque pour les données des participants de régime augmente rapidement.

Alors que les promoteurs, administrateurs, fiduciaires, gestionnaires d’actifs et autres dirigeants de systèmes de revenu de retraite se rassemblaient jeudi au Halifax Convention Centre pour assister au congrès national annuel de deux jours de l’Association canadienne des administrateurs de régimes de retraite (ACARR), Kim Schreader et Matt Saunders se sont réunis pour analyser les risques et les moyens de défense que les promoteurs de régimes peuvent adopter pour protéger les données des participants et gérer les vulnérabilités des tierces parties.

Les deux intervenants de l’atelier ont souligné l’évolution fulgurante du contexte de menaces.

« La cybersécurité est un concept relativement nouveau, mais qui évolue rapidement. C’est ce qui effraie le plus : le rythme auquel les choses changent », a déclaré Kim Schreader, directrice des services professionnels en cybersécurité à TELUS, relevant que les entreprises ont été contraintes de numériser leurs activités rapidement, surtout après la COVID-19, et que cette précipitation a créé des trous béants dans l’infrastructure, les politiques et la sensibilisation.

Elle a souligné que ce manque de maturité est aggravé par l’évolution rapide des technologies. Depuis, les entreprises ont adopté des services infonuagiques, le télétravail et des portails numériques pour les membres à un rythme accéléré, ce qui a pour effet d’accroître la complexité et les risques.

« On assiste à une pénurie de ressources et à un manque de connaissances », a-t-elle ajouté. « On manque de personnel pour relever tous les défis et répondre aux besoins organisationnels des entreprises qui tentent de comprendre où elles en sont. Il y a 40 ans, la cybersécurité était largement assimilée aux TI, mais aujourd’hui, elle est vraiment devenue un domaine à part entière. La pression sur les budgets est plus forte. Nous avons beaucoup entendu parler des différentes pressions économiques au cours des derniers jours, mais ces pressions sont tout aussi manifestes dans le budget consacré à la cybersécurité, surtout quand une entreprise ne comprend pas ses risques ou n’y croit pas. Il est alors très difficile d’obtenir de l’argent, et nous sommes à nouveau en concurrence pour obtenir des ressources. »

La perception qu’ont les conseils d’administration de la cybersécurité en tant que centre de coûts complique encore plus les choses. Les conseils d’administration ont tendance à se concentrer sur les résultats financiers et, à moins qu’ils ne considèrent les incidents de sécurité comme étant des risques commerciaux, et pas seulement comme des problèmes informatiques, ils délient difficilement les cordons de la bourse.

Kim Schreader a également réfuté une idée fausse très répandue, à savoir que les petites et moyennes entreprises ne sont pas ciblées. Cependant, les auteurs de menace s’en prennent à tout le monde parce que les entreprises de taille moyenne n’ont pas les ressources nécessaires pour se rétablir rapidement.

« Soixante pour cent des petites et moyennes entreprises victimes d’une attaque doivent généralement fermer leurs portes dans les six mois qui suivent », a-t-elle ajouté. « Si les retombées sont plus importantes dans les grandes entreprises, il est beaucoup plus difficile pour les petites et moyennes entreprises de se remettre d’une violation. »

Alors que le coût d’une violation pour les entreprises de taille moyenne s’élève en moyenne à 100 000 dollars, il peut atteindre des millions de dollars pour les grandes entreprises. En ce qui concerne les pensions, Kim Schreader souligne que la question n’est pas de savoir si les employeurs et les promoteurs de régimes seront victimes d’une violation, mais plutôt quand ils le seront.

Matt Saunders, avocat chez Borden Ladner Gervais, qui encadre également les clients victimes d’attaques par rançongiciel, a mis en lumière la réalité d’un scénario catastrophe, soulignant que la préparation change la donne entre un incident gérable et une crise aiguë.

S’appuyant sur un cas concret qui a touché des retraités au Royaume-Uni, Matt Saunders a décrit comment une seule vulnérabilité a conduit à l’exposition de données sensibles pour des milliers de personnes. La faille technique n’était toutefois pas le seul problème.

« La vulnérabilité se trouvait dans le système même de l’entreprise; des milliers de personnes ont été touchées, ce qui a coûté très cher sur le plan de l’intervention », a fait remarquer M. Saunders. « Le problème le plus important, à mon avis, est la façon dont la communication a déraillé pendant l’intervention. Lorsqu’on est victime d’une cyberattaque, il peut s’agir d’un rançongiciel ou de la compromission des courriels d’une entreprise. Une personne a peut-être perdu son portable et a oublié de le verrouiller par mot de passe... Toutes ces situations peuvent soulever des problèmes de communication de crise, et vous serez bien mieux préparé à gérer ces menaces si vous restez maître de la situation. »

Il a exhorté les administrateurs de régime de retraite à examiner attentivement les types de données qu’ils détiennent et a souligné la nécessité d’harmoniser les politiques de conservation des données avec la nature délicate et le volume réels des renseignements personnels détenus par les entreprises.

 « Où sont ces données? Qui y a accès? Comment cet accès est-il contrôlé? » « Il faut répondre à ces questions avant de signaler la violation, et non au milieu ou après, a-t-il ajouté. Si ces systèmes ne sont pas harmonisés, les entreprises augmentent inutilement leur exposition aux menaces. »

Il a également insisté sur l’importance de mettre en œuvre une stratégie de notification souple et préétablie. Que la violation soit mineure ou catastrophique, les entreprises doivent être en mesure de réagir rapidement.

Enfin, M. Saunders est revenu sur un thème récurrent : l’erreur humaine. Il a fait remarquer que de nombreux cyberincidents sont déclenchés par un employé qui clique sur un mauvais lien ou qui visite un site compromis.

Il a encouragé les entreprises à entreprendre leur préparation à la cybersécurité en faisant le bilan des mesures déjà en place, car la plupart des promoteurs de régime ont probablement un plan d’intervention d’urgence ou de continuité des activités qui peut servir de point de départ.

Il a également suggéré aux équipes d’évaluer d’abord les lacunes : recenser les politiques existantes, déterminer les éléments manquants, puis établir un ordre de priorité pour apporter les améliorations qui s’imposent. Pour ceux qui partent de zéro, M. Saunders a insisté sur l’importance de réunir les bonnes personnes dès le départ, même si ces personnes assument des mandats variés.

Que ces personnes travaillent aux TI, aux ressources humaines, au service juridique ou aux communications, la première étape consiste à réunir les bonnes parties prenantes internes autour de la table.

« Il n’est pas nécessaire de réinventer la roue. L’idéal est de partir d’une base existante, mais il faut d’abord la trouver. Cette approche globale sera avantageuse pour votre entreprise, non seulement sur le plan de l’intervention, mais aussi sur celui de la réduction de la responsabilité à long terme », a expliqué M. Saunders.

« N’ayez pas peur. Si vous démarrez un programme de cybersécurité aujourd’hui, aucun souci. C’est mieux que de le démarrer demain, ou jamais », a-t-il ajouté.

Josh Welsh, journaliste, Benefits and Pensions Monitor

Josh Welsh est journaliste dans le secteur de la gestion de patrimoine pour Key Media. Il est le principal journaliste de BPM et a écrit pour InvestmentNews, la publication américaine sœur de BPM. Il a étudié au Humber College, et est titulaire d’un baccalauréat en journalisme et d’un diplôme en art dramatique.

En dehors de l’écriture et des entrevues, il fréquente l’historique Arts and Letters Club of Toronto, où il assiste au tout dernier film sur le plus grand écran possible, ou poursuit son rêve de devenir acteur. Pour toute suggestion d’article ou communiquer avec lui, écrivez-lui à l’adresse [email protected].