Il est maintenant bien établi que la cybersécurité fait partie des priorités des conseils d'administration partout dans le monde. L'évolution rapide de la réglementation et des litiges sur le sujet en 2018 et au début de 2019 démontre que la gestion des cyberrisques préoccupera davantage les dirigeants d'entreprise au cours des mois et des années à venir.

Introduction

En 2018, les grandes sociétés ouvertes ont continué d'être victimes de cyberattaques qui ont occasionné de gigantesques vols de données, des interruptions des activités et des escroqueries. Même si la gamme des moyens de cyberattaque est en augmentation constante, les techniques classiques comme l'usurpation d'adresse électronique sont encore communément et largement utilisées avec un certain succès. Quelle que soit sa source, la cyberactivité malveillante cause de sérieux préjudices aux finances, à l'exploitation et à la réputation des entreprises.

Et si on regarde l'avenir, rien n'indique que les risques liés à la cybersécurité sont près de disparaître.

Directives des organismes de réglementation

Il n'est pas étonnant que la cybersécurité ait attiré l'attention des autorités en valeurs mobilières des deux côtés de la frontière. Comme nous l'avons exposé auparavant, les Autorités canadiennes en valeurs mobilières (ACVM)[1] et la Securities and Exchange Commission (SEC)[2] ont publié des déclarations et des directives sur la communication des risques et incidents liés à la cybersécurité. Dernièrement, après avoir fait enquête sur un certain nombre d'émetteurs américains victimes de cyberfraude, la SEC a publié un rapport dans lequel elle a souligné le lien entre la cybersécurité et la gestion des risques d'entreprise :

« [traduction non officielle] [L]es émetteurs doivent être conscients des risques que posent les fraudes liées à la cybersécurité et se demander, au besoin, si les systèmes de contrôle comptables internes suffisent à fournir des garanties raisonnables de sauvegarde de leurs biens contre ces risques ».

Réponse des conseils d'administration

Les conseils d'administration savent bien que la cybersécurité relève de leur responsabilité de gestion du risque. En effet, les sondages menés auprès des administrateurs de sociétés montrent que la cybersécurité est en train de devenir une des grandes priorités des conseils.[3] De plus, les investisseurs institutionnels interpellent désormais les sociétés sur les questions de gouvernance liées à la cybersécurité, y compris la préparation et la réaction aux incidents.

Dans ce contexte, les conseils des sociétés prennent un certain nombre de mesures pour traiter les cyberrisques, y compris les suivantes :

  • examiner les politiques de communication et les contrôles internes liés à la cybersécurité;
  • examiner leurs infrastructures technologiques;
  • évaluer les risques liés aux fournisseurs et vendeurs tiers.

L'adoption du Règlement général sur la protection des données de l'UE et la nouvelle obligation de déclarer au commissaire à la protection de la vie privée du Canada les atteintes à la protection des données alourdissent encore plus les obligations de cybersécurité imposées aux administrateurs.

La cybersécurité en 2019 : signes précurseurs d'une année chargée

En 2019, la cybersécurité demeurera indubitablement une préoccupation centrale pour les conseils d'administration des sociétés ouvertes. Trois nouveaux développements vont déjà dans ce sens.

Règlement de l'action dérivée des actionnaires de Yahoo

Le premier développement concerne le règlement d'une action dérivée intentée par des actionnaires contre d'anciens administrateurs et dirigeants de Yahoo! Inc., approuvé par un tribunal de Californie le 4 janvier 2019, et qui concernait des vols massifs de données à la suite d'une série de cyberattaques. Les administrateurs et dirigeants se sont vu reprocher les omissions suivantes :

  1. omission de mettre en Suvre et d'appliquer des contrôles internes efficaces de la sécurité des données;
  2. omission de déclarer l'efficacité des politiques sur la sécurité des données de la société;
  3. omission de déclarer l'ampleur du vol de données;
  4. omission de faire étudier les effets possibles d'une atteinte à la sécurité des données sur les activités de la société.

Le règlement de 29 millions de dollars est remarquable du fait que l'action dérivée invoquant un manquement à l'obligation fiduciaire de surveillance de la cybersécurité, argument qui avait jusque-là été rejeté par les tribunaux. 

Action collective contre Equifax

Le deuxième développement concerne l'action collective en valeurs mobilières intentée par des investisseurs à la suite d'un grave vol de données chez Equifax. Survenu en 2017, l'incident avait touché 148 millions de clients des États-Unis. Les demandeurs ont prétendu qu'Equifax et certains de ses administrateurs et dirigeants avaient fait des déclarations fausses ou trompeuses à propos d'informations personnelles sensibles sous la garde d'Equifax, de la vulnérabilité de ses systèmes internes aux cyberattaques et de sa conformité aux lois sur la protection des données et aux pratiques exemplaires en matière de cybersécurité.

À la fin janvier, la Cour du district nord de la Géorgie s'est prononcée sur une demande de rejet de l'action collective. La Cour a rejeté l'argument des défendeurs d'après lequel les demandeurs n'avaient pas suffisamment fait valoir que les déclarations d'Equifax à propos de ses systèmes de sécurité étaient fausses ou trompeuses. Toutefois, la Cour a accueilli la demande de rejeter l'accusation voulant que les défendeurs avaient l'obligation de déclarer spécifiquement le vol de données. Même si elle n'est pas définitive, la décision met en évidence les problèmes de déclaration soulevés par les atteintes à la sécurité des données et les risques de cybersécurité. Elle est particulièrement remarquable puisque les actions collectives en valeurs mobilières pour vol de données ont généralement été rejetées.

Nouveau préavis du BSIF sur le signalement d'un incident

Le dernier développement concerne précisément les institutions financières fédérales (IFF) qui sont réglementées par le Bureau du surintendant des institutions financières du Canada (BSIF). Le préavis du BSIF Signalement des incidents liés à la technologie et à la cybersécurité, publié en janvier 2019 et entré en vigueur le 31 mars 2019, donne des directives aux IFF relativement au signalement rapide des incidents de cybersécurité au BSIF. Nous prévoyons publier un billet distinct sur le préavis du BSIF dans les semaines à venir.

Conclusion

Compte tenu de ces développements, les administrateurs seraient bien inspirés de continuer d'adapter la gouvernance d'entreprise aux cyberrisques au moyen d'une réflexion sur la composition du conseil et la formation de ses membres, la responsabilité du conseil sur les questions de cybersécurité et l'intégration de la cybersécurité à la surveillance de la gestion du risque.

Footnotes

[1]. Voir l'Avis multilatéral 51-347 du personnel des ACVM Information sur les risques et les incidents liés à la cybersécurité, 19 janvier 2017; Avis 11-326 du personnel des ACVM Cybersécurité, 26 septembre 2013.

[2]. U.S. Securities and Exchange Commission, Commission Statement and Guidance on Public Company Cybersecurity Disclosures, publications de la SEC nos 33-10459 et 34-82746, 21 février 2018.

[3]. Hugessen Consulting Inc., 2018 Director Opinion Survey: Reflections & Resolutions, décembre 2018; Cybersecurity in the Boardroom – Fighting the Forever War, Corporate Board Member, 2018.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.