/finance/business
Navigation

Ottawa doit intervenir

Les firmes victimes de piratage devraient être forcées de dévoiler les vols de renseignements personnels

Computer crime concept
Photo Fotolia Le Canada est en train de perdre le combat de la cybersécurité, en partie parce que les entreprises ne sont pas forcées de dévoiler lorsque les données de leurs clients sont volées par des pirates, dénoncent des experts. 

Coup d'oeil sur cet article

Ottawa doit intervenir de toute urgence pour forcer les entreprises à dévoiler les vols de renseignements personnels, comme celui qui affecte 622 000 utilisateurs canadiens de Facebook, insistent des experts en sécurité.

Les vols de données des clients de Facebook et d’Equifax étaient sur toutes les lèvres, jeudi, au Rendez-vous de la sécurité de l’information qui se déroulait à Montréal. Pour plusieurs des experts présents interrogés par Le Journal, on a atteint, avec ces deux incidents, le point de rupture.

Le Far West

L’un des principaux problèmes : les entreprises ont peu ou pas d’obligations en matière de divulgation de piratage. Et lorsqu’elles en ont, elles omettent souvent de le faire.

On pense souvent aux grandes entreprises, comme Target ou Walmart, mais le vol de données survient aussi dans les PME, « même celle qui fait votre déneigement », illustre le consultant indépendant et expert en sécurité informatique Yves Desharnais.

« Oui, il y a des lois en place en ce moment, mais [...] il y a des secteurs où ce n’est vraiment pas clair. Il y a beaucoup de gens qui ignorent carrément qu’ils ont des obligations de protéger les données. »

Les gouvernements sont « toujours en retard » par rapport à l’évolution des nouvelles technologies, dit-il. « Ceux qui font des attaques informatiques sont toujours en avance. Et au milieu de tout ça, on trouve les consommateurs qui sont affectés », dit-il.

Des mesures fédérales pourraient entrer en vigueur d’ici la fin de l’année, mais on ignore leur portée précise.

L’autoréglementation est un échec

Chose certaine, il ne faut pas s’attendre à ce que l’industrie se réglemente elle-même, dit Gabriel Tremblay, PDG de Delve Labs, spécialisé dans l’évaluation des vulnérabilités informatiques.

« Les pénalités, en cybersécurité, c’est une blague. L’autoréglementation ne fonctionne pas. Ça n’a jamais fonctionné. » Et sans action gouvernementale, « on perd le combat de la cybersécurité », croit-il.

« Une brèche de sécurité peut gruger, quoi, 1 % de votre chiffre d’affaires ? Si la loi forçait les grandes entreprises à consacrer 1 % du chiffre d’affaires sous peine d’amendes de plusieurs millions $, là on verrait l’industrie agir », dit M. Tremblay.

Son entreprise compte 10 employés et est forcée d’avoir deux personnes formées en santé et sécurité au travail. Pourtant, rien ne l’oblige à s’assurer que ses systèmes informatiques sont résistants à une cyberattaque simple, déplore-t-il.

La cybersécurité au Canada

  • 53 % des entreprises canadiennes auraient été victimes de pertes de données « sensibles » en 2016 (en hausse de 7 % par rapport à 2014)
  • 7 % des entreprises auraient subi des pertes de 1 à 5 M$
  • 5 % des entreprises rapportent des pertes de 5 à 100 M$
Source : Chambre de commerce du Canada, 2017