Bienvenue dans l'ère numérique, où la menace des cyberattaques plane aussi bien sur les entreprises que sur les individus. Lorsqu'un incident de cybersécurité survient, les organisations au Canada sont confrontées à un dilemme de taille : le signaler ou non aux autorités.
C'est une décision qu'il ne faut pas prendre à la légère, car malgré les avantages, d'éventuels inconvénients sont également à considérer.
Au Canada, c'est le Centre national de coordination en cybercriminalité (CNC3) de la Gendarmerie royale canadienne (GRC) qui coordonne les interventions relatives à la cybercriminalité et qui oriente les corps policiers du pays à cet égard. En tant que seule organisation fédérale ayant le mandat et le pouvoir d'enquêter sur les infractions criminelles de cybercriminalité, ses enquêtes portent principalement sur le cybercrime international et sur le cybercrime mettant en jeu la sécurité nationale.
Vous pouvez signaler un acte de cybercriminalité à votre service de police local ou à votre détachement local de la GRC si vous vous situez dans une zone géographique où la GRC fait office de police compétente.
Les avantages de signaler un incident de cybersécurité aux forces de l'ordre
1. La conformité législative
En vertu des lois canadiennes sur la confidentialité et la protection des données, comme la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), il est parfois obligatoire de signaler un incident de cybersécurité aux autorités.
La LPRPDE s'applique à toutes les entreprises qui exercent des activités commerciales au Canada, sauf si ces activités se déroulent exclusivement en Alberta, en Colombie-Britannique ou au Québec, provinces ayant adopté leurs propres lois en matière de protection de la vie privée. Les organisations assujetties à la LPRPDE doivent aviser le commissaire à la protection de la vie privée, ainsi que les individus concernés, de :
« […] toute atteinte aux mesures de sécurité qui a trait à des renseignements personnels dont elle a la gestion, s'il est raisonnable de croire, dans les circonstances, que l'atteinte présente un risque réel de préjudice grave à l'endroit d'un individu »[1].
Les obligations de déclaration des atteintes de l'Alberta et du Québec sont similaires.
Outre la déclaration au commissaire de la protection de la vie privée, les organisations assujetties à la LPRPDE qui avisent un intéressé d'une atteinte aux mesures de sécurité doivent également aviser toute autre organisation ou institution gouvernementale qui, selon elle, est en mesure de réduire le risque de préjudice qui pourrait découler de l'atteinte ou qui pourrait atténuer un tel préjudice.
Pour faciliter leur démarche, le Commissariat à la protection de la vie privée du Canada a publié une page intitulée « Ce que vous devez savoir sur la déclaration obligatoire des atteintes aux mesures de sécurité » sur son site Web. Un des exemples fournis : un organisme chargé de l'application de la loi doit être avisé lorsqu'un système informatique a subi une attaque perpétrée par des acteurs malveillants qui ont eu accès aux renseignements de clients, s'il y a raison de croire que les autorités pourraient être en mesure de réduire ou d'atténuer le risque de préjudice envers ces clients.
Ainsi, bien que la LPRPDE n'impose pas le signalement d'une atteinte aux forces de l'ordre, elle exige néanmoins que les organisations déterminent si signaler cette atteinte aux autorités pourrait réduire le risque de préjudice et, dans l'affirmative, qu'elles en informent lesdites autorités. Contrevenir sciemment aux obligations en matière de déclaration, d'avis et de tenue de registre des atteintes aux mesures de sécurité prévues à la LPRPDE constitue une infraction passible d'amende.
En Alberta, la Personal Information Protection Act (PIPA) n'exige pas d'informer les forces de l'ordre ou d'autres organisations d'une atteinte, ni même d'évaluer si le fait de la signaler à d'autres organisations pourrait réduire le risque de préjudice.
En revanche, le formulaire de déclaration d'atteinte à la vie privée du bureau du commissaire à l'information et à la protection de la vie privée de l'Alberta comprend bien une question demandant si la police ou d'autres autorités ou organisations ont été informées de l'atteinte à la vie privée. Si l'organisation qui remplit le formulaire répond par l'affirmative, elle doit indiquer le nom et les coordonnées de chaque entité qu'elle a avisée, ainsi que la date à laquelle l'avis a été émis.
2. Les enquêtes criminelles
L'un des principaux avantages de signaler un incident de cybersécurité aux organismes chargés de l'application de la loi se manifeste lorsque l'incident en question concerne un vol ou une activité criminelle. Dans ce cas, une enquête criminelle est déclenchée, laquelle peut faciliter l'identification et l'arrestation des cybercriminels. Cela peut s'avérer particulièrement utile dans les cas de cyberattaques aux intentions malveillantes ou celles visant une organisation en particulier.
Le Centre canadien pour la cybersécurité est une agence fédérale qui encourage les organisations à signaler de leur propre chef les incidents de cybersécurité. Toutefois, le fait de signaler un incident de cybersécurité ne déclenchera pas pour autant une intervention immédiate des forces de l'ordre. Ces dernières recommandent plutôt de contacter votre service de police local ou la GRC si vous croyez qu'un incident de cybersécurité représente une menace imminente pour la vie de quelqu'un ou qu'il est de nature criminelle.
D'ailleurs, la GRC et le Centre canadien pour la cybersécurité ont corédigé une publication sur le signalement de cybercrimes, qui peut être consulté en cliquant ici.
La cybercriminalité regroupe les délits commis au moyen de la technologie (comme les maliciels ou les rançongiciels) ainsi que ceux menés grâce à la technologie (comme le blanchiment d'argent ou la fraude). La GRC et le Centre canadien pour la cybersécurité vous encouragent fortement à signaler le cybercrime aux autorités, et rappellent qu'il est important de le faire dans les 24 heures suivant sa découverte pour obtenir les meilleurs résultats possibles.
3. La communication d'informations
Les autorités collaborent fréquemment avec des experts en cybersécurité et des organismes de renseignements, ce qui leur permet de communiquer de l'information entre eux et d'unir leurs forces afin de lutter plus efficacement contre les cybermenaces. Le Centre antifraude du Canada (CAFC) recueille des renseignements relatifs à la fraude et au vol d'identité. Il travaille actuellement de concert le CNC3 de la GRC pour mettre en place un nouveau système de signalement des incidents de cybercriminalité et de fraude à l'intention des particuliers et des entreprises au Canada.
Signaler un incident au CAFC peut permettre d'établir des liens entre de nombreux crimes perpétrés au Canada et à l'étranger, de faire progresser ou boucler une enquête, de créer des rapports de prévision de la criminalité, et d'aider les autorités, les secteurs public et privé ainsi que les milieux universitaires à en apprendre davantage sur la cybercriminalité et sur la façon de la prévenir.
Par exemple, la Police provinciale de l'Ontario, la GRC, le FBI et Europol ont travaillé ensemble dans le cadre d'une enquête et de l'arrestation subséquente d'un individu à Ottawa accusé de cyberattaques à l'échelle internationale. Les organismes de l'application de la loi doivent mettre leurs ressources en commun pour répondre à de telles menaces qui se font partout sur le plan géographique. Ce type de collaboration n'est possible que si les entités victimes d'un incident de cybersécurité le signalent aux forces de l'ordre.
Le portail du CAFC fonctionne sous forme de projet pilote depuis mars 2020. Le lancement officiel du nouveau système de signalement des incidents de cybersécurité et de fraude est prévu pour 2023 ou en début 2024, et il sera entièrement fonctionnel vers la fin de l'année 2024. Vous pouvez obtenir des renseignements supplémentaires sur le portail du CAFC en cliquant ici.
4. Le facteur dissuasif
En signalant les incidents aux autorités, les organisations ont un effet dissuasif sur les cybercriminels qui se sachant poursuivis par les forces de l'ordre, pourraient renoncer à cibler des entités données.
Les avantages découlant de la communication d'informations ont également un effet dissuasif : à mesure que les ressources dont disposent les autorités pour anticiper et tracer les actes cybercriminels s'améliorent, la cybercriminalité devient de moins en moins attrayante.
5. La satisfaction des parties prenantes
En alertant les autorités, une organisation peut rassurer ses parties prenantes sur le fait qu'elle prend toutes les mesures possibles pour remédier à un incident de cybersécurité.
Par exemple, les actionnaires, les partenaires de projets, les personnes touchées par l'incident et d'autres tiers pourraient être satisfaits de savoir que les autorités chargées de l'application de la loi ont été informées de l'incident, afin qu'une enquête puisse être lancée.
Les inconvénients de signaler un incident de cybersécurité aux forces de l'ordre
1. L'exposition médiatique
Signaler un incident de cybersécurité aux autorités pourrait accroître l'exposition médiatique d'une entreprise, nuire à sa réputation et entraîner une perte de confiance de la part des clients et des actionnaires.
Les incidents de cybersécurité font souvent l'objet de reportages dans les médias nationaux ou internationaux.
2. Le besoin en ressources
Les enquêtes criminelles peuvent nécessiter d'investir beaucoup de ressources (qu'il s'agisse de temps, d'effectifs et d'argent) pour appuyer le processus d'enquête, la fourniture de preuves et la tenue de procédures judiciaires.
Cela pourrait soustraire du temps et des ressources précieuses aux activités de l'organisation touchée et à ses efforts de rétablissement.
3. Le contrôle limité
Une fois qu'un incident est signalé, ce sont les forces de l'ordre qui prennent, en partie ou en totalité, le contrôle de l'enquête, ce qui limite la capacité de l'organisation concernée à gérer le processus et peut compromettre la confidentialité des données.
Par exemple, une enquête pourrait évoluer dans diverses directions et révéler d'autres problèmes liés aux mesures de sécurité informatique de votre organisation. Les organismes chargés de l'application de la loi pourraient également prendre des mesures allant à l'encontre des intérêts de votre organisation dans le cadre de l'enquête sur l'incident de cybersécurité en question ou d'une affaire connexe.
4. La divulgation de renseignements
En signalant un incident, les organisations pourraient être contraintes de divulguer des renseignements confidentiels aux forces de l'ordre, et ainsi dévoiler des secrets commerciaux ou des informations exclusives. Certaines informations au sujet de votre organisation pourraient être rendues publiques.
La plupart des renseignements transmis aux organismes publics canadiens sont soumis aux lois sur l'« accès à l'information ». Les forces de l'ordre sont considérées comme des organismes publics dans la plupart des provinces et territoires du Canada.
Même si des exceptions sont généralement prévues pour les informations concernant les enquêtes menées par les autorités, une fois qu'elles leur sont fournies, il y a toujours la possibilité qu'elles soient divulguées dans le cadre d'une demande d'accès à l'information ou dans le contexte d'une procédure pénale (si une telle procédure est engagée à la suite d'une enquête ultérieure).
Connaître les mesures à prendre en cas d'incident de cybersécurité
Au Canada, signaler ou non un incident de cybersécurité aux forces de l'ordre représente une décision complexe qui peut avoir de lourdes conséquences. Elle demande de trouver un équilibre entre les obligations légales, les avantages potentiels découlant de l'arrestation des cybercriminels, et les risques d'exposition publique et de perte de contrôle sur l'incident.
Ultimement, cette décision devrait être prise après une évaluation minutieuse des circonstances spécifiques de l'incident. Il est recommandé de faire appel à un conseiller juridique expérimenté en cybersécurité et en protection de la vie privée, qui vous aidera à aborder cette situation complexe et à prendre une décision éclairée qui servira au mieux les intérêts de votre organisation.
Les organisations qui cherchent à se protéger et à protéger leurs parties prenantes contre les cybermenaces doivent impérativement se tenir informées des obligations légales et s'assurer de bien comprendre ce qu'implique le signalement d'un incident de cybersécurité.
N'hésitez pas à contacter un membre de l'équipe Cybersécurité et protection des données de Gowling WLG pour en savoir plus sur la manière dont nous pouvons vous aider à répondre à un incident de cybersécurité et à le signaler aux autorités.