Les autorités en valeurs mobilières du Canada ont réalisé auprès des plus grandes sociétés ouvertes canadiennes un vaste examen des pratiques en matière de communication de l’information sur les risques et les incidents liés à la cybersécurité (l’« examen »). Cet examen, ainsi que le rapport qui l’accompagne (le « rapport ») ont récemment été publiés dans un Avis du personnel des Autorités canadiennes en valeurs mobilières (les « ACVM »), coalition non officielle des autorités provinciales et territoriales du Canada responsables de la réglementation des valeurs mobilières. Dans le texte qui suit, Ross McKee et Kristin Ali, de Blake, Cassels & Graydon S.E.N.C.R.L./s.r.l., s’intéressent aux conclusions de l’examen quant à la façon dont les questions de cybersécurité ont été et devraient être abordées dans l’information sur les facteurs de risque.

CONTEXTE

Les ACVM insistent sur l’importance de la sensibilisation aux questions de cybersécurité depuis 2013, année de la publication de l’Avis 11-326 du personnel des ACVM, Cybersécurité, le premier des avis des ACVM sur le sujet. Cet avis a été un coup de semonce à l’endroit des personnes inscrites, notamment les courtiers et les conseillers, d’autres entités réglementées, dont les marchés boursiers et les chambres de compensation, ainsi que des émetteurs assujettis.

En septembre 2016, les ACVM ont annoncé qu’elles prévoyaient examiner précisément l’information sur les risques et les incidents liés à la cybersécurité fournie par les émetteurs assujettis (Avis 11-332 du personnel des ACVM, Cybersécurité).

Dans le cadre de l’examen, les ACVM ont analysé les documents déposés par les 240 émetteurs inclus dans l’indice composé S&P/TSX, l’examen ayant porté sur deux genres d’information communiqués par les émetteurs assujettis :

  1. L’information périodique fournie dans les documents d’information prescrits, comme les notices annuelles (les « notices annuelles », équivalent canadien du formulaire 10-K américain) et les rapports de gestion périodiques (les « rapports de gestion »);
  2. L’information occasionnelle fournie lors d’un cyberincident, comme les communiqués et les déclarations de changement important (équivalent canadien du formulaire 8-K américain). Les résultats de l’examen ont été publiés dans le rapport en janvier 2017.

OBLIGATIONS D’INFORMATION ET INDICATIONS DES ACVM

Selon le rapport, les obligations de signaler les cyberincidents conformément aux lois notamment sur la protection de la vie privée diffèrent de celles prévues par les lois sur les valeurs mobilières.

Importance relative

Aux termes des lois sur les valeurs mobilières, le critère déclencheur de l’obligation d’information est celui de l’importance relative; les émetteurs assujettis au Canada doivent faire une déclaration occasionnelle de tout changement important, c’est-à-dire un changement touchant l’entreprise ou les activités de l’émetteur qui risquerait vraisemblablement d’avoir un effet important sur le cours de ses titres.

Les émetteurs assujettis doivent également éviter de faire des déclarations fausses ou trompeuses dans leurs documents d’information périodique, notamment par omission de déclarer un fait important dont la mention est nécessaire pour éviter qu’une déclaration ne soit trompeuse à la lumière des circonstances dans lesquelles elle a été faite.

L’importance relative d’un cyberincident est établie en fonction de sa nature et de sa portée. Il faut ainsi déterminer si le pirate informatique qui a réussi à accéder au réseau de l’entreprise a compromis ou exfiltré des données, ou si l’incident a été circonscrit et la situation corrigée avant que les données ne soient touchées. Lorsque des données ont été compromises, on doit également vérifier s’il s’agissait de données importantes, notamment de renseignements personnels, de renseignements sur l’état de santé, de renseignements sur des clients ou d’information financière. Parmi les autres facteurs pertinents à examiner, citons la manière dont les données ont été compromises, la question de savoir si le piratage est le résultat d’une attaque par déni de service distribué ou d’un rançongiciel ou s’il s’agit d’un acte commis par un initié, si l’incident est isolé ou s’il s’agit d’une série d’incidents mineurs ou majeurs et, dans le cas d’une série d’incidents, si l’on dispose de renseignements suffisants pour qu’une information exacte soit communiquée. En effet, il est indiqué dans le rapport que « L’importance relative est fonction de l’analyse contextuelle de l’incident. […] [La détermination de l’importance d’un incident] est un processus dynamique se déroulant tout au long des phases de détection et d’évaluation de l’incident et de mise en place des mesures correctives. » Il est également mentionné que les ACVM s’attendent « à ce que les émetteurs précisent dans tout plan de reprise après une cyberattaque la façon dont l’importance de celle-ci serait évaluée pour établir si de l’information doit être rendue publique à son sujet et, le cas échéant, à quel moment et de quelle façon. »

Facteurs de risque

La présentation des facteurs de risques est obligatoire dans certains documents. Il est expressément prévu que les prospectus, les notices annuelles et les rapports de gestion, notamment, doivent contenir un exposé des facteurs de risque liés à l’émetteur et à ses activités. Ainsi, les émetteurs assujettis doivent examiner si la cybersécurité constitue un facteur de risque dans le cadre de leur entreprise.

Ils doivent également communiquer dans leurs rapports de gestion intermédiaires et annuel leurs conclusions quant à l’efficacité de leurs contrôles et de leurs procédures de communication de l’information. Dans le cas où des cyberincidents risquent de nuire à la capacité d’un émetteur de consigner, de traiter, de résumer et de communiquer des renseignements qu’ils doivent présenter dans les états financiers et dans d’autres documents de valeurs mobilières qu’ils déposent, la direction devrait vérifier si ses contrôles et procédures de communication de l’information présentent des lacunes susceptibles de les rendre inefficaces.

Dans le rapport, on rappelle aux émetteurs que s’ils établissent que le risque lié à la cybersécurité est important, ils devraient fournir de l’information aussi détaillée et propre à leur situation que possible, en évitant les phrases toutes faites et en fournissant avec leurs documents d’information une analyse de la probabilité qu’une atteinte survienne et une indication de l’ampleur prévue de son incidence. En revanche, les ACVM ne s’attendent pas à ce que les émetteurs divulguent des détails sur leur stratégie en matière de cybersécurité ou des renseignements sensibles pouvant compromettre leur cybersécurité.

PRINCIPALES CONCLUSIONS

En tenant compte de ces obligations d’information, l’examen a permis d’observer, dans les faits, quels renseignements communiquent les émetteurs assujettis sur la cybersécurité. Le texte ci-après présente quelques-unes des principales conclusions de l’examen.

La cybersécurité est un facteur de risque

L’examen révèle que 61 % des émetteurs ont abordé les questions de cybersécurité dans leur information sur les facteurs de risque. Les émetteurs ont indiqué que leur dépendance envers les systèmes de technologie de l’information les rendait vulnérables aux atteintes à la cybersécurité. Par contre, peu d’émetteurs ont fourni de l’information sur leur vulnérabilité particulière aux cyberincidents.

Répercussions d’un cyberincident

Dans le rapport, on trouve des exemples de répercussions possibles d’un cyberincident mentionnées à plusieurs reprises : il y a les répercussions évidentes, notamment la destruction de données, les arrêts ou les interruptions de la production, les perturbations dans la gestion de la chaîne d’approvisionnement et des stocks, l’atteinte à la confidentialité des renseignements sur un client, la perte de revenus ou le coût des mesures correctives, ainsi que les répercussions à long terme, dont l’atteinte à la réputation et les incidences négatives sur les occasions futures. Les facteurs de risque courants comprennent également les risques de litiges et d’amendes, ainsi que le risque de faire l’objet d’une plus grande surveillance et d’enquêtes réglementaires plus approfondies.

Atténuation des risques en matière de cybersécurité

Selon l’examen, 20 % des émetteurs ayant traité de cybersécurité dans l’information communiquée avaient indiqué la personne, le groupe ou le comité responsable de leur stratégie à cet égard. Les émetteurs ont le plus souvent mentionné le comité d’audit comme responsable de la surveillance des risques liés à la cybersécurité, suivi d’un comité de gestion du risque, de l’ensemble du conseil d’administration, du chef des finances et du chef des technologies de l’information. Certains émetteurs ont mentionné qu’un plan de reprise après sinistre avait été mis en place, mais peu d’émetteurs ont indiqué détenir une assurance en cas de cyberincident.

Cyberattaques

L’examen révèle que « certains » émetteurs ont signalé dans leur information avoir déjà fait l’objet de cyberattaques, mais qu’aucun émetteur n’a indiqué que ces incidents étaient importants. Un seul émetteur a mentionné avoir publié un communiqué suivant une atteinte à la protection de ses données qui s’est traduite par la divulgation de renseignements confidentiels.

CONCLUSION

Il est clair selon le rapport que la cybersécurité constitue une priorité pour les sociétés ouvertes, et que les émetteurs assujettis devraient indiquer les risques liés à la cybersécurité et signaler les cyberincidents qui ont une incidence importante sur leurs activités. Compte tenu de la surveillance réglementaire croissante des pratiques en matière de cybersécurité, les émetteurs ont l’obligation d’évaluer leurs risques et de communiquer l’information qui s’impose à cet égard. Voici quelques stratégies pouvant favoriser une évaluation efficace des risques liés à la cybersécurité.

Présentation de rapports au conseil

Le conseil d’administration doit recevoir régulièrement un rapport sur les questions de cybersécurité. Cette mesure a constitué un critère important de l’évaluation de la responsabilité des administrateurs dans le cadre de poursuites d’actionnaires américains pour atteinte à la sécurité des données.

Collaboration avec une équipe chargée de la cybersécurité

Bien que l’importance relative soit une question de droit, dans le contexte de la cybersécurité on a plutôt recours à une approche multidisciplinaire prenant en compte des considérations commerciales, techniques et juridiques ainsi que de sécurité et de protection des renseignements personnels. Par conséquent, le comité chargé de la surveillance des risques liés à la cybersécurité doit s’être doté d’un mécanisme lui permettant de recueillir les observations tirées de ces diverses perspectives; il devrait aussi examiner la possibilité de collaborer avec une équipe chargée de la cybersécurité transorganisationnelle formée de membres des services juridiques, de la protection des renseignements personnels et des technologies de l’information ainsi que de membres de la haute direction et de conseillers externes afin d’appuyer la société et le conseil d’administration dans la gestion des risques liés à la cybersécurité et la signalisation des incidents.

Examen du plan d’intervention en cas d’incident

Il s’agit d’élaborer et de mettre à l’essai un plan d’intervention judicieux, prévoyant quel membre de la société sera responsable de l’intervention et de quelle manière la société interviendra en cas d’incident touchant les données. Le plan devrait également prévoir l’évaluation de l’importance relative d’un cyberincident afin de déterminer si et quand de l’information doit être communiquée. Enfin, il devrait être examiné par le conseil d’administration, le comité de gestion des risques responsable de la surveillance de la cybersécurité et une équipe interne ou des conseillers externes chargés de la cybersécurité.

La version anglaise originale du présent article a été publiée dans le numéro d’avril 2017 de Data Protection Leader.