5 minutes de lecture 7 mai 2020
Une employée d’EY devant un ordinateur

Communication d’informations liées à la cybersécurité : l’approche des sociétés du TSX 60

Par

EY Canada

Organisation de services professionnels multidisciplinaires

Collaborateurs
5 minutes de lecture 7 mai 2020

L’intensification des cybermenaces s’accompagne d’une importance accrue accordée à la communication de l’information à cet égard dans les documents d’information.

Les cyberattaques représentent une menace réelle, de sorte que les sociétés doivent en faire un volet clé de leur programme de gestion du risque d’entreprise. La communication d’informations permet aux sociétés de dire comment elles donnent l’exemple en relevant les défis que posent la cybersécurité et la protection des renseignements personnels. En faisant preuve de transparence, elles montrent qu’elles agissent avec prudence et diligence, et qu’elles souhaitent entretenir un dialogue avec leurs parties prenantes.

Comme les menaces liées à la cybersécurité et à la protection des renseignements personnels deviennent de plus en plus complexes et répandues, les parties prenantes doivent passer au peigne fin les informations que les sociétés fournissent sur la cybersécurité dans les documents d’information.

Notre rapport sur la communication d’informations relatives à la cybersécurité jette un éclairage plus étendu sur les informations en la matière présentées dans les états financiers des plus grandes sociétés ouvertes du Canada.

Cybersécurité et protection des renseignements personnels

L’étude intitulée 2019 EY CEO Imperative Study (en anglais) a révélé que les investisseurs et les administrateurs s’attendent à ce que les chefs de la direction relèvent un vaste éventail de défis mondiaux, la cybersécurité, tant à l’échelle de l’entreprise qu’à l’échelle nationale, étant en tête de liste. Dans l’édition 2020 de son rapport intitulé The Global Risks Report (en anglais), le Forum économique mondial a défini les trois principaux risques d’ordre technologique :

  1. les cyberattaques;
  2. la fraude et les vols liés aux données;
  3. la perturbation d’infrastructures d’information essentielles.

Le Commissariat à la protection de la vie privée (CPVP) a entrepris un processus et une série de consultations publiques en vue de mettre à jour la réglementation canadienne, notamment la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE).

  • À l’heure actuelle, toutes les entreprises canadiennes doivent signaler au CPVP les atteintes à la sécurité des données si elles présentent un « risque réel de préjudice grave » à l’endroit des personnes touchées.
  • Dans un avenir rapproché, des modifications qui seront apportées à la législation fédérale sur la protection de la vie privée pour soutenir la Charte canadienne du numérique donneront plus de pouvoirs aux particuliers, et les autorités harmoniseront les normes canadiennes avec les normes internationales en matière de protection de la vie privée.

Pratiques actuelles de communication de l’information

Afin d’informer les sociétés canadiennes sur les informations à fournir actuellement, EY et Comptables professionnels agréés du Canada (CPA Canada) ont analysé l’information sur la cybersécurité et la protection des renseignements personnels fournie dans des documents publiés au 31 décembre 2018 par les sociétés du TSX 60 (selon la capitalisation boursière). Ces sociétés représentent 70 % de la capitalisation boursière de la Bourse de Toronto.

Ce projet vient compléter les travaux du EY US Center for Board Matters qui, en 2018, a entrepris d’analyser l’information que communiquent les sociétés ouvertes américaines au sujet des risques liés à la cybersécurité et de la surveillance de ces risques.

Constatations sur les informations relatives à la cybersécurité publiées par des sociétés ouvertes canadiennes

Cybersecurity related findings

Communication des risques

Après analyse des résultats, nous avons constaté que la quasi-totalité (98 %) des organisations canadiennes réalisent la pertinence des risques liés à la cybersécurité. La seule organisation analysée qui n’a pas inclus ces risques dans la section de ses documents réservée à la communication d’informations sur les risques s’est concentrée sur les risques qui peuvent avoir une incidence sur les immobilisations corporelles.

La surveillance par le conseil d’administration

Environ la moitié (52 %) des organisations analysées ont désigné un seul comité pour surveiller les questions de cybersécurité, alors que 20 % d’entre elles ont attribué cette responsabilité à plus d’un comité, pour un total de 72 %. La figure ci-contre présente les comités auxquels cette responsabilité a été attribuée par les organisations analysées.

Les sociétés canadiennes confient la surveillance des questions de cybersécurité au comité d’audit (45 %) et à d’autres comités (47 %).

Board oversight figure

Près des trois quarts des organisations canadiennes, soit 72 %, communiquent les questions de cybersécurité au conseil d’administration, et 67 % d’entre elles indiquent à quelle fréquence elles lui communiquent ces questions.

Gestion des incidents liés à la cybersécurité

Un peu moins de la moitié des organisations canadiennes, soit 48 %, affirment avoir mis en place des procédures de gestion des incidents liés à la cybersécurité afin de réagir aux imprévus qui influent directement sur leurs activités de traitement électronique des données. Ces incidents peuvent varier, allant du mauvais fonctionnement d’un outil faisant appel aux TI à des problèmes complexes comme une attaque par déni de service distribué ou une atteinte à la vie privée.

L’étude a révélé que 42 % des organisations misent sur des plans de réponse, de reprise après sinistre ou de poursuite des activités; elles ont donc mis en place des mesures pour répondre aux éventualités touchant leurs activités qui vont plus loin que leur simple capacité de traitement électronique des données.

Plus du tiers des organisations, soit 38 %, ont indiqué qu’elles misent sur des simulations, des essais d’intervention ou des évaluations de l’indépendance pour répondre aux imprévus.

Plusieurs atteintes à la protection des données ont été grandement médiatisées en montrant que les cyberattaques peuvent être très dommageables et en servant de catalyseur de changement afin de pousser les organisations à communiquer de l’information sur les risques liés à la cybersécurité.
Yogen Appalraju
Leader, Cybersécurité, EY Canada

Gestion du risque

Les programmes de formation théorique et pratique axés sur l’atténuation des risques liés à la cybersécurité comptent parmi les principales mesures appliquées par 47 % des organisations sondées. Le recours à des processus et des procédures spécialisés et la mise en œuvre de systèmes de gestion figurent parmi les principaux éléments mis en place pour relever ces défis. Parmi les référentiels utilisés pour appuyer leur stratégie de cybersécurité, les organisations ont mentionné les normes ISO 270001, le cadre du NIST2 et la norme PCI DSS3.

Les programmes de formation théorique et pratique axés sur l’atténuation des risques liés à la cybersécurité comptent parmi les principales mesures appliquées par 47 % des organisations sondées. À cette fin, la sensibilisation à la cybersécurité et à la protection des renseignements personnels est ce que les organisations font le plus fréquemment.

Seulement 8 % des organisations ont indiqué qu’elles participent à des initiatives de collaboration afin d’échanger des idées avec leurs pairs, des groupes sectoriels et des décideurs, et de trouver les meilleures pratiques pour répondre aux défis que pose la cybersécurité. Parallèlement, 5 % des organisations font appel à un conseiller externe en cybersécurité.

Énoncé sur la protection des renseignements personnels

Alors que le Canada a modifié la LPRPDE pour obliger les entreprises canadiennes à aviser les consommateurs des violations de données qui représentent un risque réel de préjudice grave pour les personnes touchées, 50 % des organisations canadiennes sondées ont dit souhaiter se conformer à la réglementation sur la protection des renseignements personnels, dont la LPRPDE et le  GPD de l’UE, entre autres.

Un cinquième des organisations analysées (20 %) ont mentionné avoir été la cible d’une forme de cyberattaque. Ces organisations font partie de secteurs divers, dont les services financiers, le commerce de détail, les produits de consommation, les mines, les technologies, les télécommunications et les services. Neuf organisations ayant subi une cyberattaque ont qualifié celle-ci de peu importante, tandis que trois l’ont qualifiée d’importante.

Questions que la direction et le conseil d’administration devraient prendre en considération

  • Avons-nous décrit dans un document le cyberespace dans lequel nos partenaires commerciaux, nous-mêmes et d’autres parties prenantes exerçons nos activités et en avons-nous une compréhension approfondie?
  • Avons-nous pris des mesures pour comprendre les préoccupations des investisseurs au sujet de notre exposition aux risques liés à la cybersécurité et la façon dont nous devrions aborder ces préoccupations dans l’information que nous communiquons?
  • Sommes-nous convaincus qu’une attention appropriée est portée aux risques liés à la cybersécurité et à leur atténuation dans notre structure de gouvernance? Les responsabilités quant à la surveillance de ces risques et à leur atténuation sont-elles clairement définies?
  • Avons-nous évalué séparément, pour chacun de nos principaux documents de communication d’information, quelles informations doivent être communiquées à propos des risques liés à la cybersécurité sur les plans opérationnel, financier et réglementaire? Avons-nous des procédures en place pour revoir régulièrement ces pratiques en matière de communication de l’information?
  • Avons-nous établi des procédures internes pour évaluer l’importance relative des atteintes à la cybersécurité ou d’autres incidents?
  • Montrer les sources de l'article

    1Normes de la série 27000 publiées par l’Organisation internationale de normalisation.
    2National Institute of Standards and Technology.
    3Norme de sécurité sur les données de l’industrie des cartes de paiement.

Résumé

Dans un monde où les cyberattaques sont inévitables, les conseils d’administration, les investisseurs, les autorités de réglementation et d’autres parties prenantes de la gouvernance s’intéressent de plus en plus à la façon dont les sociétés se protègent contre les menaces liées à la cybersécurité, planifient en fonction de ces menaces et y répondent.

À propos de cet article

Par

EY Canada

Organisation de services professionnels multidisciplinaires

Collaborateurs