Dubé Latreille Avocats

Récemment, la société Indigo Books & Music - une chaîne canadienne de librairies - a été frappée d'une attaque au rançongiciel qui semble avoir compromis les renseignements personnels de ses employés. Celle-ci a fait le choix (courageux ou calculé) de ne pas payer la rançon exigée et ce principalement pour 2 raisons: 1) la rançon risquait de financer une organisation terroriste, et 2) Indigo n'avait aucune garantie que les données, qui pouvaient avoir été copiées ou exfiltrées (c'est fréquent), ne seraient pas réutilisées à des fins criminelles.

Le choix de Indigo est très certainement louable. En effet, dans un contexte où les auteurs de ce type de crime sont très difficiles à identifier et à traduire en justice, le meilleur moyen de les dissuader est de veiller à ce que ce crime ne paye pas. Si les entreprises s'unissent pour refuser systématiquement de payer les rançons, on peut s'attendre à ce que les criminels du web cessent d'y recourir. Autrement, chaque rançon payée ne fait qu'encourager cette pratique qui est actuellement un très sérieux problème qui met à risque toutes les organisations.

Par ailleurs, s'agissant de criminels, la victime n'a aucune garantie que le fait pour elle de payer une rançon lui permettra de recouvrer l'accès à ses données. De plus, il n'est pas rare qu'une victime se fasse extorquée une seconde fois pour éviter que ses données sensibles (renseignements personnels, secrets industriels, propriété intellectuelle, etc.) soient diffusées sur Internet et/ou vendues sur le Dark web.

Ceci étant, encore faut-il pouvoir se permettre de refuser de payer. Quand l'entreprise en cause en a les moyens ou si le volume de données compromises est limité, les conséquences d'une attaque au rançongiciel peuvent être limitées si on refuse de payer la rançon. Par contre, lorsque la volumétrie des données prises en otage est considérable (songez aux villes, banques, hôpitaux, universités, agences gouvernementales, etc.) ou si l'entreprise impactée n'a pas les moyens de reconstituer ses bases de données, l'option de payer une rançon pour sortir du cauchemar, malgré les risques, peut paraître beaucoup moins indigeste.

En tout état de cause (pour l'instant), il revient à chaque organisation de choisir d'adhérer ou non à une politique de non-paiement de rançon et de se structurer en conséquence (segmentation, surveillance, systèmes de redondance ou sauvegarde, etc.). En agissant de la sorte, ainsi que nous y invite l'exemple d'Indigo, les entreprises feront échec au crime et y gagneront en réputation auprès de leur clientèle et du public.

‍#entreprises #surveillance #rançongiciel #cyberattaque

Indigo refuse de payer une rançon

RAPPEL : Le projet de loi 78 Loi visant principalement à améliorer la transparence des entreprises, et qui vient modifier la Loi sur la Publicité Légale des Entreprises (LPLE) quant aux obligations déclaratives des entreprises, entre en vigueur le 31 mars 2023.

De nouvelles obligations de déclarations vont donc être imposées avec pour objectif d’assurer la fiabilité des informations contenues au registre des entreprises tout en contribuant aux actions de prévention et de lutte contre l’évasion fiscale, le blanchiment d’argent et la corruption.Comme l'échéance approche, il est important de s'intéresser aux nouvelles obligations imposées notamment en ce qui concerne la notion de bénéficiaire ultime.

#transparence #obligations #entreprises

‍‍https://lnkd.in/eBqMuKyZ

Contrairement à ce que suggèrent certaines croyances, le phénomène des cyberattaques n'épargne aucune organisation: les grandes comme les petites. Il suffit que votre entreprise soit branchée à Internet pour y être exposé.

Qu'est-ce qu'une "cyberattaque"? Essentiellement, il s'agit d'une tentative effectuée délibérément pour accéder illicitement aux systèmes informatiques d'une organisation afin d'en compromettre l'accessibilité, la confidentialité ou l'intégrité.

Les cyberattaques sont invariablement des événements éprouvants et généralement coûteux pour les organisations qui en sont victimes. En effet, outre les mesures de prévention, protection et sensibilisation que toute entreprise devrait mettre en place pour s'en prémunir, l'existence d'un plan d'urgence (ainsi que le requiert désormais la Loi 25) combiné à une cyberassurance peuvent réduire considérablement la portée des préjudices inhérents à ce type d'incident.

Dans le cas de Sobeys, s'il s'avère que ses systèmes d'information ont fait l'objet d'une cyberattaque (ce qui semble probable), elle a nécessairement activé son plan d'urgence et constitué une équipe de crise composée de spécialistes et conseillers divers pour voir à minimiser ses dommages à tous les niveaux (opérations, réputation, responsabilité civile, et conformité).

Il s'agit ensuite pour Sobeys de déterminer quelle vulnérabilité a été exploitée, depuis quand son réseau a été infiltré, et quelles données ont été compromises (incluant le dispositif de sauvegarde). Ce faisant, il faut également établir si les données de l'entreprise ont été exfiltrées par les criminels. Ces renseignements sont déterminants pour permettre à l'organisation de définir l'ampleur du problème, les options à envisager (dans le cas d'une cyberrançon: payer ou ne pas payer), et le contenu des notifications qui devront être faites aux autorités et aux victimes.

Entre-temps, les communications sont très importantes. Sobeys devra sortir de son mutisme pour contrôler le message qu'elle diffuse auprès du public, de ses employés et des parties prenantes. Ce faisant, elle devra faire preuve d'une grande prudence puisque le contenu de celui-ci aura invariablement un impact sur l'image et la réputation de l'entreprise, sur la valeur de ses actions, la confiance de ses partenaires, ses relations avec ses fournisseurs, etc., dans un contexte fluide et évolutif qui pourrait facilement prêter flanc à des poursuites civiles, d'autant plus que la chaîne d'approvisionnement s'en trouve perturbée ainsi que le suggère l'article ci-dessous.

Les cyberattaques menacent quotidiennement la pérennité des entreprises. Conséquemment, les dirigeants ont la responsabilité de s'y préparer.

Cyberattaque chez Sobeys: des commerçants ne peuvent toujours pas passer leurs commandes

Mercredi, le 31 août dernier se tenait la 10e édition du fameux gala Bulles et tapis rouge de l'Association pulmonaire du Québec (APQ). Cet événement haut en couleur, qui rassemblait plus de 500 personnes au Terminal 1 du Vieux Port de Montréal, visait à amasser des fonds pour la recherche et pour financer différents projets conçus pour venir en aide aux personnes qui sont aux prises avec des problèmes de santé pulmonaire, soit près du tiers des Québécois.

Encore une fois, et malgré 2 ans de pandémie, l'APQ a réussi à organiser un événement exceptionnel pour le plus grand plaisir des nombreux participants. Le moment fort de la soirée a été sans nul doute les témoignages émouvants de patients qui ont partagé leur combat contre la maladie suivi d'un défilé de mode époustouflant mettant en vedette plusieurs grands noms de la mode québécoise. Quel show!

DUBÉ LATREILLE est fier de sponsoriser cet événement pour appuyer un organisme qui rend annuellement d'immenses services aux citoyens du Québec en appuyant la recherche, en menant des campagnes de sensibilisation, en donnant de la formation, et en prodiguant des programmes, des soins et de l'espoir à tous ceux et celles dont la vie est hypothéquée par une maladie pulmonaire.

Nos sincères compliments à Mme Dominique Massie (directrice générale) et à toute l'équipe de l'Association Pulmonaire du Québec pour leur dévouement et pour le succès de cet événement qui fait désormais partie des grands rendez-vous annuels à ne pas manquer. Merci pour ce que vous faites et bonne continuation!

https://poumonquebec.ca/gala-bulles-tapis-rouge/