Agromart est une petite entreprise de 30 employés située à Thorndale, en Ontario. Elle fournit des fertilisants, des produits de protection des cultures et des semences à des fermes de l’Ontario et des Maritimes.1
Agromart existe depuis près de 50 ans. Au fil des ans, elle a constamment investi dans ses infrastructures physiques, mais a négligé son infrastructure informatique. Comme elle n’a jamais eu de problème, ce n’était tout simplement pas une priorité.
Quand la COVID-19 a frappé en mars 2020, les agriculteurs ont continué à s’occuper de leurs cultures et Agromart était là pour les aider. Cependant, quelqu’un s’est infiltré dans les systèmes d’Agromart à l’aide d’identifiants d’administrateur. En mars et avril 2020, cette personne s’est faufilée dans le système comme un serpent et a eu accès aux renseignements personnels de plus de 800 clients, y compris leurs numéros d’assurance sociale, leurs renseignements bancaires et de carte de crédit et leurs signatures électroniques.
En mai 2020, le pirate a déployé un rançongiciel dans les systèmes informatiques d’Agromart pour chiffrer les données de l’entreprise et en bloquer l’accès. Celle-ci a réagi à l’attaque en faisant appel à des experts externes en sécurité et en ouvrant une enquête, mais elle a refusé de payer la rançon. Pour lui donner une leçon, le pirate a lancé une vente aux enchères des données avant de les publier sur le Web clandestin en juin 2020.
À la suite de cette violation, une agricultrice de l’Ontario a intenté un recours collectif sous le motif qu’Agromart n’avait pas protégé ses renseignements personnels et sensibles, ainsi que ceux de milliers de consommateurs canadiens. Le tribunal a approuvé un règlement de 500 000 $ en mai 2024.
Malheureusement, le cas d’Agromart est loin d’être unique. Si vous suivez l’actualité, vous savez sans doute que les violations de données sont fréquentes et touchent des organisations de tous les secteurs.
Johanne Desloges, vice-présidente, Indemnisation GCS, à Aviva Canada, a lancé cette mise en garde à un auditoire de professionnels en gestion des risques lors de la conférence RIMS Canada*. Elle a ensuite donné une foule d’informations et a présenté des facteurs à prendre en compte pour atténuer les cyberrisques.
Les litiges liés à la cybersécurité deviennent aussi fréquents que les cyberattaques
La cybersécurité est au cœur des préoccupations des organisations du monde entier. Selon un rapport sur les violations de données publié en 2024 par IBM, les organisations canadiennes paient en moyenne 4,66 M$ US par incident de violation de données, et les organisations américaines, 9,36 M$ US.2
Dans un sondage de Norton Rose Fulbright*, 40 % des personnes interrogées ont affirmé que leur entreprise avait constaté une augmentation du nombre de litiges liés à la cybersécurité et à la protection des données au cours des 12 derniers mois.
« Les deux risques les plus fréquents dans ce domaine sont la communication accidentelle et la communication intentionnelle de renseignements personnels à des tiers par une entreprise », a déclaré Mme Desloges.
Ces causes peuvent être coûteuses à défendre et donner lieu à des « copies » de recours collectifs dans plusieurs pays, exposant ainsi l’organisation à des attaques sur plusieurs fronts.
Les entreprises doivent également se méfier des attaques délibérées provenant de l’intérieur. Par exemple, un employé de l’Insurance Corporation of British Columbia (ICBC) a obtenu et vendu de manière inappropriée les renseignements personnels de 79 clients de son employeur. Ces renseignements ont ensuite été utilisés pour commettre des incendies criminels et des fusillades contre 13 personnes. À l’issue d’une instruction sommaire, le tribunal a conclu que le comportement de l’employé constituait une violation de la Privacy Act de la Colombie-Britannique et que l’ICBC était responsable du fait d’autrui. L’appel de l’ICBC a été rejeté.3
« La bonne nouvelle, c’est que l’autorisation d’une action collective n’est pas garantie. Dans la plupart des cas, il n’y a pas de preuve que les renseignements personnels ont été utilisés à mauvais escient ou que l’accès à ces renseignements a entraîné un préjudice indemnisable. Plusieurs tribunaux canadiens ont statué que l’anxiété ou la détresse générale causée par une violation de renseignements personnels ne constitue pas un motif suffisant d’autorisation. »
Comment atténuer les risques de litige découlant d’un cyberincident
Mme Desloges propose sept moyens que peuvent prendre les entreprises canadiennes pour réduire les risques.
1. Déterminer vos obligations réglementaires
« Vous devez comprendre de quelles autorités réglementaires nationales, fédérales et provinciales vous relevez si un cyberincident se produit. Élaborez des flux opérationnels et des processus de gestion et d’intervention en cas de cyberincident en fonction de ces exigences. »
2. Miser sur la défense
« La meilleure offensive, c’est la défense. Assurez un suivi serré de votre programme de sécurité de l’information pour pouvoir vous défendre en cas de recours collectif lié à une violation de données. »
3. Revoir votre plan d’intervention en cas d’incident
« Un plan d’intervention en cas d’incident n’est efficace que s’il est compris par les parties prenantes concernées. Établissez un plan, gérez-le et assurez-vous qu’il est coordonné et mis en œuvre de façon holistique dans l’ensemble de l’organisation. »
4. Créer et examiner les flux de travail des livrables
« Examinez les relations contractuelles et envisagez de mener des enquêtes en deux volets, s’il y a lieu. Mettez votre service juridique à contribution dès le début du processus de planification de l’intervention en cas d’incident. »
5. Veiller à la conformité réglementaire
« Informez-vous sur les cadres réglementaires de tous les territoires où vous menez vos activités. Vous devez notamment comprendre les lois locales relatives à la protection des données, les normes du travail et les normes environnementales. »
6. Connaître les risques propres au territoire
« Dans certaines régions, la réglementation peut être plus stricte ou la propension aux litiges peut être plus élevée. Vous devez connaître les particularités de chaque région et le risque auquel vous êtes exposé partout où vous faites affaire. »
7. Mettre en place de solides programmes de conformité
« Élaborez et tenez à jour des programmes de conformité complets qui tiennent compte de toutes les exigences légales et réglementaires pertinentes. Effectuez régulièrement des audits et des mises à jour pour vous assurer de demeurer conforme en tout temps. »
Vous cherchez un moyen de protéger votre entreprise contre des risques nouveaux et en constante évolution?
L’équipe Grands comptes et assurance spécialisée d’Aviva propose une approche axée avant tout sur la prévention, qui combine la gestion des risques et l’innovation technologique. Si votre entreprise a besoin d’une protection d’assurance et d’un service d’indemnisation expert et dédié, notre équipe peut vous aider.
*en anglais seulement
2 Cost of a Data Breach Report 2024, IBM: https://canada.newsroom.ibm.com/2024-07-30-IBM-Report-Escalating-Data-Breach-Disruption-Pushes-Cybersecurity-Costs-in-Canada (en anglais seulement)
3 Ari v. Insurance Corporation of British Columbia, 2024 BCSC 964
