Jonathan Chamberlain
Partner
Article
10
Cyberattaques externes, perte de données hautement sensibles et manque de connaissance chez les employeurs : voilà, selon le calculateur de risques numériques de Gowling WLG, certaines des plus graves menaces auxquelles font face les entreprises. Il s’agit là d’une source d’inquiétude pour les employeurs et quoique bon nombre d’attaques prennent la forme d’hameçonnage, les entreprises doivent également se parer contre la menace que constitue l’employé malveillant.
Quelles mesures les employeurs peuvent-ils prendre afin d’atténuer les risques susmentionnés et repérer les signes d’insécurité? Dans le présent article, notre équipe du droit du travail vous présente les principaux outils de protection contre les risques numériques.
Lorsqu’on procède à une analyse a posteriori, les moyens d’atténuer les risques numériques semblent toujours évidents : offrir des formations accrues, afficher des avertissements et se procurer de meilleurs outils de technologie pour la protection en ligne. Cela dit, il est presque impossible d’être entièrement à l’abri des attaques numériques, surtout lorsque celles-ci sont perpétrées par des employés malveillants. Cette réalité s’explique par le fait que les employés ont accès à de vastes quantités de données pouvant être déplacées à tort ou même vendues. Même s’il est important de fournir des formations adéquates à cet égard, c’est un véritable changement de culture qui doit s’opérer au sein des entreprises.
Un employé ne devient pas malveillant du jour au lendemain. On peut repérer des signes avant-coureurs évidents dans diverses situations : l’employé éprouve de la contrariété vis-à-vis de son environnement de travail; l’employé se retrouve en période de préavis alors qu’il s’apprête à joindre les rangs d’un concurrent; ou l’employé était en mauvais termes avec l’employeur lorsqu’il a quitté l’entreprise. Pour l’employeur, réagir adéquatement face à ces situations peut faire la différence entre subir une fuite de données et éviter les conséquences potentiellement catastrophiques et embarrassantes.
Puisque l’employé malveillant peut s’avérer être une menace à la cybersécurité, les employeurs doivent s’assurer de bien comprendre comment gérer les risques numériques de façon efficace.
Selon une récente étude gouvernementale sur le FTSE 350, une proportion étonnante de membres de conseils d’administration, soit 68 %, n’ont pas reçu de formation les disposant à répondre à des incidents de cybersécurité. Le rapport d’étude suggère également que plus de la moitié des membres de conseils d’administration affirmait reconnaître que les cybermenaces sont parmi les principaux risques pesant contre leur entreprise, ce qui démontre que ce risque croissant est bel et bien sur leur écran radar. Toutefois, il ressort clairement du rapport que peu de gens prennent des mesures en vue de se prémunir contre les risques numériques. On fait donc face à un besoin flagrant de changer la façon d’aborder la sécurité en ligne puisque les employeurs ne reçoivent pas la formation nécessaire ou qu’ils ne prennent pas le temps d’établir des mesures adéquates. Autrement dit, la cybersécurité est reléguée au second plan.
Dans quelle mesure est-il possible d’éviter les risques numériques tels que les cyberattaques et les employés malveillants? Et comment doit-on s’y prendre pour les éviter?
Il est très peu probable que le simple fait d’avoir établi des règles et procédures suffise à prévenir la perpétration d’attaques numériques. Après tout, on peut vraisemblablement supposer que la plupart des entreprises qui ont été victimes d’une cyberattaque avaient établi des procédures de travail pour se protéger contre ce genre d’incident. Toutefois, adopter une approche reposant uniquement sur l’application de règles n’offre aucune garantie et peut même procurer une fausse impression de sécurité.
En un mot, difficilement. Outre le fait d’utiliser des technologies actualisées et de s’assurer que celle-ci protègent réellement leur entreprise, les employeurs doivent adopter une nouvelle culture. Pour commencer, il faut faire de la sécurité de l’information une priorité au même titre que les questions touchant la santé et la sécurité au travail. À juste titre, protéger la santé et la sécurité des employés est un enjeu prioritaire pour la plupart des entreprises, sinon pour toutes ces dernières. En outre, lorsque les employés perçoivent un risque potentiel sur le plan de la santé et de la sécurité, ils sont généralement portés à en parler dans le but de faire corriger la situation. En accordant ce même statut prioritaire à la sécurité de l’information, les entreprises réaliseront le changement de culture qui contribuera à prévenir des attaques futures.
Beaucoup d’entreprises se targuent d’avoir développé un modèle d’affaires fondé sur des systèmes prétendument sécuritaires, constitué d’une série de règles et d’une structure rigoureuse en ce qui a trait à l’importance de la confidentialité et de la manipulation de données. Cependant, si la culture de l’entreprise ne s’accorde pas avec ces supposées mesures de prévention, celles-ci seront inefficaces, car les gens ont tendance à faire des erreurs.
Beaucoup d’entreprises disposent d’une grande panoplie de formations, de règles et de procédures visant la santé et la sécurité. Il en résulte une culture où l’on fait le nécessaire pour que la plupart des gens sachent comment s’entraider, comment repérer les signes de danger et quoi faire en cas d’urgence. Dans le même ordre d’idées, certaines entreprises disposent d’une grande diversité de formations, de règles et de procédures visant la sécurité de l’information, mais si la culture de l’entreprise n’est pas bien intégrée en ce sens et que les employés ne croient pas qu’il s’agit d’un enjeu pouvant les impacter personnellement au même titre qu’un incident lié à la santé et à la sécurité, on continuera de commettre des erreurs.
Si les employeurs ne font pas une priorité de la sécurité de l’information, la culture ne changera pas et ces derniers continueront de commettre des erreurs. Et advenant que des erreurs surviennent et produisent une brèche de données, les employeurs doivent réagir astucieusement et promptement afin de déployer des mesures de défense optimales. Essentiellement, il est nécessaire d’introduire un document éducationnel sur l’emplacement des fichiers et sur le comportement inapproprié, mais qui plus est, les employés doivent être amenés à comprennent les conséquences qu’une brèche de données peut engendrer, tant pour eux que pour l’entreprise. C’est ce changement de culture qui servira de soutien à la technologie utilisée et qui contribuera à éviter les risques numériques dans le futur.
L’appareil législatif se met en branle une fois qu’une brèche de données a été constatée. Il faudra alors suivre toute une série de procédures afin de récupérer les données, notamment, s’assurer de réagir immédiatement. Pour empêcher que la brèche de sécurité ne cause des problèmes majeurs, on ne peut se permettre d’attendre passivement. Dans ce contexte, les tribunaux sont intransigeants en ce qui concerne le retard à prendre des mesures et sont d’avis que si la partie lésée n’a pas pris la peine d’agir rapidement, il ne s’agit probablement pas d’un enjeu bien important pour elle.
Si c’est un employé malveillant qui a causé l’atteinte à la sécurité, l’employeur doit demander à examiner les appareils personnels des employés. Il s’agit d’une question sensible, car malgré les circonstances, les employés conservent tout de même leur droit à la vie privée et il est difficile de convaincre un tribunal qu’il est justifié d’obliger un ancien employé à remettre ses appareils personnels à l’employeur. Par contre, si les appareils appartiennent à l’entreprise, celle-ci a le droit de demander à les vérifier et elle doit le faire.
Même lorsque l’on soupçonne un employé d’être malveillant, il faut en tout temps respecter son droit à la vie privée. Les employeurs doivent donc établir un équilibre afin de se prévaloir de leur droit de prendre des mesures en vue de sécuriser les données tout en respectant la vie privée de l’employé.
Voici d’autres conseils à l’intention des employeurs :
CECI NE CONSTITUE PAS UN AVIS JURIDIQUE. L'information qui est présentée dans le site Web sous quelque forme que ce soit est fournie à titre informatif uniquement. Elle ne constitue pas un avis juridique et ne devrait pas être interprétée comme tel. Aucun utilisateur ne devrait prendre ou négliger de prendre des décisions en se fiant uniquement à ces renseignements, ni ignorer les conseils juridiques d'un professionnel ou tarder à consulter un professionnel sur la base de ce qu'il a lu dans ce site Web. Les professionnels de Gowling WLG seront heureux de discuter avec l'utilisateur des différentes options possibles concernant certaines questions juridiques précises.