Cybersécurité: sur quels éléments les conseils d’administration doivent-ils se concentrer?

2 juin 2015

Dans le présent blogue, le second d’une série sur les devoirs des administrateurs et dirigeants canadiens, Vanessa Coiteux et Tania Djerrahian discutent de certains des éléments clés sur lesquels les administrateurs doivent s’attarder dans le domaine en pleine évolution de la cybersécurité. L’article traite de certaines des préoccupations exprimées par les autorités en valeurs mobilières et les agences de conseil en vote à l’égard de la cybersécurité, de même que de certains des éléments qui doivent être pris en considération dans le cadre de l’établissement d’une stratégie de cybersécurité efficace.

De nos jours, la plupart des sociétés dépendent de réseaux, d’ordinateurs et d’Internet pour la gestion de leur entreprise. Bien que la technologie numérique présente de nombreux avantages, elle a également le désavantage d’exposer les sociétés à des atteintes à la cybersécurité. Par le passé, plusieurs considéraient que les risques liés à la cybersécurité relevaient entièrement du service de technologie de l’information d’une société. Toutefois, les cyberattaques dont ont été victimes de nombreuses sociétés de divers secteurs au cours des dernières années, et les conséquences importantes de plusieurs de ces attaques, ont démontré qu’il peut être approprié pour les conseils d’administration, selon les faits et circonstances propres à leur société, de considérer ces risques comme des risques de l’entreprise au sens large (comme  cela a été le cas pour les risques financiers à la suite du scandale d’Enron). Tel qu’il en est question ci‑après, il existe plusieurs raisons pour lesquelles les conseils d’administration de sociétés ouvertes auraient avantage à superviser la gestion des cyberrisques,  et plusieurs façons pratiques de le faire.

Raisons pour lesquelles les conseils auraient avantage à superviser la gestion de la cybersécurité

Incidence sur les résultats des sociétés

Les incidents dont ont été victimes Target, Sony et JP Morgan sont de bons exemples de l’incidence qu’une atteinte à la cybersécurité peut avoir sur les résultats d’une société. Les frais liés aux enquêtes et aux mesures correctives qui suivent une atteinte à la cybersécurité (même infructueuse) peuvent être très élevés, sans compter les coûts liés aux poursuites de clients, fournisseurs et actionnaires et à la perturbation des affaires courantes. Toutefois, ce ne sont pas ces coûts qui empêchent le conseil d’administration ou la direction des sociétés ouvertes de dormir la nuit : la menace la plus grande pour les résultats est l’atteinte à la réputation et la perte de fidélité de la clientèle. Plusieurs mois, voire plusieurs années, peuvent s’écouler avant qu’une société retrouve la confiance de ses clients.

Les autorités en valeurs mobilières encouragent les sociétés à évaluer l’opportunité de divulguer leurs risques liés à la cybersécurité.

Les autorités en valeurs mobilières du Canada et des États‑Unis sont préoccupées par la cybersécurité et encouragent les sociétés (i) à évaluer leurs risques liés à la cybersécurité et à instaurer des contrôles pour les gérer, et (ii) à évaluer l’opportunité de divulguer ces risques et contrôles de même que toute cyberattaque importante dans le cadre de leurs obligations d’information. Au Canada, l’Avis 11‑326 du personnel des ACVM, adopté en 2013 par les Autorités canadiennes en valeurs mobilières (les « ACVM »), présente le point de vue des ACVM et les mesures suggérées par celles‑ci concernant la cybersécurité[1]. Aux États‑Unis, le CF Disclosure Guidance: Topic No. 2[2] de la Securities and Exchange Commission (la « SEC ») présente un aperçu détaillé du point de vue de la division du financement des entreprises (Division of Corporate Finance) concernant les obligations d’information liées aux risques relatifs à la cybersécurité et aux cyberincidents. Les indications en matière de divulgation données aux États-Unis soulèvent des préoccupations pour les sociétés ouvertes américaines puisque les lignes directrices détaillées peuvent être interprétées comme exigeant une divulgation détaillée sur la cybersécurité qui peut être utile pour des pirates et concurrents éventuels. Pour répondre à ces préoccupations, le personnel de la SEC reconnaît qu’une divulgation détaillée pourrait compromettre les mesures de cybersécurité et précise qu’une divulgation de cette nature n’est pas requise en vertu des lois sur les valeurs mobilières fédérales américaines. Toutefois, malgré cette reconnaissance et cette précision, du point de vue pratique, il demeure difficile de tracer une ligne de démarcation claire entre ce qui est requis et ce qui ne l’est pas et de se conformer aux lignes directrices. Au Canada, bien que l’Avis 11‑326 du personnel des ACVM ne soit pas aussi détaillé que les indications de la SEC, les sociétés ont également la tâche difficile de soupeser l’information qui doit être fournie pour respecter la législation et celle qui pourrait servir à la planification d’une cyberattaque.

Recommandations défavorables d’agences de conseil en vote et incidence sur la capacité des administrateurs d’être réélus

En 2014, après que Target ait été victime d’une cyberattaque, Institutional Shareholder Services a recommandé que les actionnaires de celle-ci s’abstiennent de voter en faveur des membres du conseil d’administration qui siégeaient au comité d’audit et au comité de responsabilité d’entreprise au motif qu’ils avaient manqué à leur devoir de gérer adéquatement les cyberrisques auxquels cette société était confrontée. Même si Glass, Lewis & Co. n’a pas formulé la même recommandation à ce moment, il est clair que les conseils qui échouent à gérer (ou qui sont vus comme ayant échoué à gérer) adéquatement les problèmes de cybersécurité s’exposent à une recommandation défavorable des agences de conseil en vote. Une recommandation défavorable, combinée à l’application d’une politique sur l’élection à la majorité (désormais requise pour tous les émetteurs inscrits à la cote de la Bourse de Toronto), pourrait éventuellement nuire à la réélection de certains administrateurs, en plus de faire en sorte que les administrateurs engagent leur responsabilité.

Responsabilité éventuelle pour manquement aux devoirs

Certaines actions dérivées récemment intentées aux États‑Unis à la suite d’une vague de cyberattaques prouvent que les actionnaires sont de plus en plus prêts à poursuivre les administrateurs pour manquement à leurs devoirs quand il est question de la gestion des cyberrisques[3]. La cause Palkon v. Holmes (D.N.J. 2014), plus connue comme l’affaire Wyndham4, en est un exemple. Dans cette affaire, un actionnaire d’une société constituée au Delaware a tenté d’intenter une telle poursuite après que des pirates ont réussi à obtenir les renseignements personnels de plus de 600 000 clients dans le cadre de trois cyberattaques distinctes qui ont été menées contre la société en question sur une période de deux ans. L’actionnaire a affirmé que les administrateurs avaient violé leurs devoirs envers la société et gaspillé ses actifs. Au Canada, tout manquement par les administrateurs à leurs devoirs fiduciaires ou à leurs devoirs de diligence pourrait également mener à une poursuite contre eux dans le cadre d’une action dérivée ou d’un recours en oppression, deux types de recours qui permettent à un tribunal de rendre les ordonnances qu’il juge appropriées, notamment d’ordonner le versement d’une indemnité par les administrateurs.

Qu’on soit aux États‑Unis ou au Canada, une mauvaise surveillance de la gestion de la cybersécurité peut faire en sorte qu’il soit difficile, voire impossible pour un conseil d’invoquer la règle de l’appréciation commerciale en cas de poursuite. La règle de l’appréciation commerciale prévoit qu’un tribunal s’en remettra au jugement commercial des administrateurs s’ils ont pris le temps de s’informer des questions en cause et de leurs incidences sur la société et qu’ils ont agi honnêtement, dans l’intérêt de la société. Dans Palkon v. Holmes (soit l’affaire Wyndham dont il est précédemment question), la gestion par le conseil des crises liées à la cybersécurité et l’application de la règle de l’appréciation commerciale ont mené au rejet de l’action dérivée au stade de la requête. À titre d’exemple, dans cette affaire, le conseil d’administration a notamment tenu 14 réunions trimestrielles au cours desquelles il a discuté des cyberattaques et des politiques de la société en matière de sécurité, ainsi que de propositions visant à améliorer la sécurité. Le conseil d’administration a également désigné le comité d’audit afin que ce dernier enquête sur ces violations et les membres de ce comité se sont réunis à au moins 16 reprises pour examiner la cybersécurité de la société. La société a également embauché une société de technologie afin qu’elle lui formule des recommandations sur les améliorations à apporter à sa sécurité, améliorations que la société avait commencé à mettre en œuvre.  À l’opposé, si la responsabilité des administrateurs découlait d’une omission, ceux-ci pourraient difficilement invoquer la règle de l’appréciation commerciale en défense. Si, par exemple, aucun système de gestion des risques n’était en place pour gérer les cyberattaques, on pourrait prétendre que cette inaction ou omission ne devrait pas être protégée par la règle de l’appréciation commerciale puisqu’il n’y a eu aucune « décision » prise par les membres du conseil.

Façons pratiques de surveiller la cybersécurité

Il n’existe aucune solution universelle quand il est question de superviser la gestion de la cybersécurité. Par contre, les conseils peuvent suivre certaines étapes afin de trouver la solution qui répond le mieux aux besoins de leur société. Ces étapes sont les suivantes :

  • évaluer le risque;
  • examiner les mesures de cybersécurité qui doivent être mises en place;
  • étudier le plan d’intervention en cas de cyberattaque qui doit être adopté;
  • évaluer le niveau requis de communication dans les circonstances.

Le conseil doit, selon son appréciation des faits et des circonstances propres à sa société, décider s’il y a lieu de suivre les étapes susmentionnées ou de retenir chacun des éléments qui font partie de celles-ci.

Évaluer le risque

La première phase d’évaluation du risque consiste à établir qui jouera un rôle clé dans le processus de supervision : le conseil lui-même, le comité d’audit, le comité de gestion des risques ou un autre comité (p. ex., le comité des TI). À cette étape, le conseil doit établir si les membres du conseil ou du comité ont les connaissances ou l’expertise requises pour comprendre les questions liées aux TI et leurs effets commerciaux. Si leurs connaissances et expertise à cet égard ne sont pas suffisantes, le conseil ou le comité devrait probablement évaluer l’opportunité de retenir les services de spécialistes indépendants en TI afin qu’ils l’aident à prendre des décisions raisonnables et informées et à poser les bonnes questions à la haute direction.

La seconde phase du processus d’évaluation consiste à établir les actifs de la société qui présentent le plus de données sensibles (du point de vue de la concurrence, de la protection des renseignements personnels ou de la divulgation) et les éléments qui les rendent à risque. Durant cette phase, le conseil ou le comité doit s’informer de ce qui suit :

  • l’origine du risque (par exemple, le risque provient-il seulement du système de TI de la société elle-même, de l’utilisation d’un nuage ou des systèmes de TI de ceux avec lesquels la société fait affaire, comme les fournisseurs tiers et partenaires);
  • l’efficacité des systèmes de détection;
  • les tentatives antérieures de cyberattaque et les mesures prises à la suite de ces tentatives;
  • les actifs, renseignements ou données à risque;
  • les coûts et frais estimatifs que la société engagera si un élément « à risque » est touché par une cyberattaque réussie;
  • la couverture dont bénéficie la société aux termes de ses polices d’assurance en matière d’atteinte à la cybersécurité (plusieurs polices d’assurance de la responsabilité civile des administrateurs et des dirigeants et polices d’assurance commerciale générale ne couvrent pas les atteintes à la sécurité des données électroniques).

Pour qu’un conseil ou un comité respecte ses obligations, il est essentiel qu’on lui fournisse les renseignements appropriés, en temps opportun, sur les questions et actifs pertinents en ce qui concerne les TI. Toutefois, les membres du conseil ou du comité ne devraient pas attendre que ces renseignements leur soient fournis : selon les faits et les circonstances, ils doivent parfois être proactifs et poser des questions.

À toutes les étapes, l’évaluation des cyberrisques doit être faite dans un cadre de gestion des risques adéquat. En janvier 2015, le Committee of Sponsoring Organizations de la Treadway Commission a publié un guide sur la façon dont son cadre de travail 2013 et son Enterprise Risk Management—Integrated Framework de 2014 peuvent aider les sociétés à évaluer et à gérer les risques liés à la cybersécurité[4].

Examiner les mesures qui doivent être mises en place

La prochaine étape pour le conseil ou le comité consiste à évaluer si des mesures de protection supplémentaires doivent être mises en place. Comme le recommande l’Instruction générale 58-201 relative à la gouvernance[5], le conseil doit avoir pour mandat non seulement de définir les risques mais également de veiller à la mise en œuvre de systèmes appropriés de gestion de ces risques. Le conseil ou le comité doit donc obtenir une réponse à des questions comme les suivantes, selon le cas :

  • Les systèmes de sécurité et mesures de TI mises en œuvre pour protéger les actifs, les renseignements et les données sont-ils proportionnels aux conséquences auxquelles la société serait exposée si ces actifs, renseignements ou données étaient compromis par une atteinte à la cybersécurité ou s’ils étaient exposés?
  • Est-il nécessaire de mettre en œuvre des mesures supplémentaires, comme former les employés en matière de cybersécurité, obtenir des polices d’assurance supplémentaires, imposer des obligations contractuelles en matière de sécurité aux tiers qui ont accès aux données électroniques de la société ou qui peuvent se brancher sur de telles données, et mettre en œuvre de nouveaux systèmes de sécurité?
  • Le conseil est‑il suffisamment informé et l’information reçue est‑elle adéquate?
  • Qui sera chargé de mettre en œuvre les mesures supplémentaires et de rendre compte au conseil ou au comité et cette personne aura-t-elle les pouvoirs, le budget et le soutien nécessaires pour s’acquitter de cette tâche?
  • À quelle fréquence et dans quelles circonstances le conseil et le comité doivent‑ils être informés de la cybersécurité et comment ce processus d’analyse et d’examen est-il documenté?

Étudier le plan d’intervention à adopter

Étant donné que la question n’est vraisemblablement pas de savoir si une atteinte à la cybersécurité aura lieu, mais plutôt quand elle aura lieu, le conseil et le comité seraient bien avisés d’adopter un plan d’intervention à être utilisé en cas d’atteinte à la cybersécurité. Comme toute crise, une mauvaise intervention peut être aussi dommageable que les événements qui ont mené à la crise. À cette étape, le conseil ou le comité doit obtenir réponse aux questions suivantes :

  • Quels éléments le plan doit-il contenir, y compris en matière de communication de l’information, d’obligations de communication imposées par la loi et de réduction des perturbations des activités et des dommages?
  • Y a-t-il lieu de retenir les services de conseillers externes, comme des conseillers juridiques ou des spécialistes des relations publiques, pour la création et la mise en œuvre du plan et les questions relatives au secret professionnel?
  • Qui, au sein de la société, doit être chargé de mettre en œuvre le plan et de rendre compte au conseil et au comité et cette personne a-t-elle les pouvoirs et le soutien nécessaires pour s’acquitter de sa tâche?
  • À quelle fréquence le plan doit-il être mis à l’essai et rajusté?

Évaluer le niveau approprié de communication d’information à la suite d’un cyberincident

Comme tout incident touchant une société ouverte, la communication d’information au public à la suite d’un cyberincident est essentielle à la protection par la société de sa marque et de sa réputation et à la gestion des autres coûts éventuellement considérables liés à l’incident, et elle est nécessaire pour limiter la responsabilité éventuelle du conseil d’administration. À cette étape, le conseil et le comité doivent s’assurer que la direction est en mesure, au besoin, avec l’aide de conseillers juridiques externes, de faire ce qui suit :

  • établir efficacement le niveau d’importance de l’attaque et si l’incident constitue un changement touchant l’entreprise, les activités ou les affaires de la société afin de savoir si un communiqué de presse doit être publié immédiatement;
  • établir ce qui doit être fait avant la communication d’information au public (c.-à-d. établir l’étendue de la cyberattaque, y compris son incidence sur les données concernant les marchands et clients, et la provenance de l’attaque, établir si celle-ci est due à une défaillance des mesures de protection de la société, établir les mesures correctives qui doivent être prises, établir les moyens dont disposent les clients et autres parties intéressées touchés pour obtenir des renseignements supplémentaires et si les facteurs de risque et autres renseignements communiqués au public sont suffisamment complets pour inclure toutes les incidences potentielles d’une atteinte à la sécurité des données).

De plus, lorsqu’une société doit déposer ses documents d’information continue, comme ses états financiers, son rapport de gestion ou sa notice annuelle, le conseil ou le comité doit se demander s’il y a lieu de fournir une mise à jour concernant de tels cyberincidents ou de divulguer un fait important touchant la cybersécurité. Même si la plupart des sociétés ouvertes préféreraient limiter autant que possible la communication d’information, les membres de conseils doivent se rappeler que la meilleure approche est parfois d’inclure une communication complète (y compris des conséquences éventuelles) lorsque toute l’attention n’est pas sur la société plutôt que d’avoir à créer un plan de communication, y compris fournir des détails importants d’une attaque, lorsque la société est sous le feu des projecteurs et que certaines parties intéressées tentent de profiter de l’occasion pour atteindre leurs propres fins. De plus, comme cela a été le cas dans plusieurs des incidents récents, une cyberattaque est parfois décelée par une agence gouvernementale ou un partenaire bancaire plutôt que par la société visée, ce qui met davantage de pression sur le conseil et la direction qui doivent s’assurer (i) que la communication initiale de la société est exhaustive et à jour et (ii) que des plans sont mis en œuvre pour fournir une communication efficace de tout nouveau changement important ou fait important, selon le cas, en conformité avec les lois sur les valeurs mobilières, d’une façon qui limitera toute atteinte à la réputation de la société.

*****

Selon les faits et circonstances propres à une société, les enjeux liés aux cyberattaques peuvent être majeurs. Les membres d’un conseil d’administration ne doivent pas attendre qu’une attaque se produise pour évaluer les risques auxquels leur société est exposée à cet égard. Lorsqu’une cyberattaque a lieu et que tout se passe rapidement et en temps réel, il est essentiel que les administrateurs soient prêts à affronter la situation puisqu’ils ne peuvent habituellement pas se permettre de prendre leur temps pour comprendre et analyser la situation et intervenir de façon adequate.

[1]     http://www.lautorite.qc.ca/files/pdf/reglementation/valeurs-mobilieres/0-avis-acvm-staff/2013/2013sept26-11-326-avis-acvm-fr.pdf

[2]    https://www.sec.gov/divisions/corpfin/guidance/cfguidance-topic2.htm

[3]     Voir Kulla v. Steinhafel, No. 14-cv-0023 (D. Minn. July 18, 2014) concernant la cyberattaque visant Target Corp.

[4] http://www.coso.org/ermupdate.html

[5]     https://www.lautorite.qc.ca/files/pdf/reglementation/valeurs-mobilieres/58-201/2005-06-30/2005juin30-58-201-ig-vadmin-fr.pdf

 

 

MISE EN GARDE : Cette publication a pour but de donner des renseignements généraux sur des questions et des nouveautés d’ordre juridique à la date indiquée. Les renseignements en cause ne sont pas des avis juridiques et ne doivent pas être traités ni invoqués comme tels. Veuillez lire notre mise en garde dans son intégralité au www.stikeman.com/avis-juridique.

Restez au fait grâce à Notre savoir