Gouvernance des conseils d'administration - Partie 2 : Cybersécurité et gérer le risque numérique

Ceci est notre deuxième article sur notre série de gestion de conseil. Retrouvez le premier article ici.

Vous êtes assis dans la salle du conseil. Un café à la main, l’ordre du jour devant vous. Tout semble normal, jusqu’à ce que le visage du /de la PDG blêmisse en pleine réunion. Il/Elle vient de recevoir un message : les serveurs de l’entreprise sont verrouillés, les données des clients ont été compromises – et les attaquants exigent 2 millions de dollars en cryptomonnaie.

Malheureusement, ceci n’est pas un exercice du service informatique. C’est une véritable attaque de rançongiciel. Et en tant que membre du conseil, vous en serez responsable.

Ce scénario se produit partout au Canada à une fréquence alarmante. Des établissements de santé en Ontario, aux fabricants en Alberta, personne n’est à l’abri de ce type d’attaque.

Les conseils ne peuvent plus traiter la cybersécurité comme une responsabilité des TI. C’est un problème de gouvernance et légal qui doit être abordé avec une stratégie claire et bien pensée. Voici ce que vous devez savoir (et faire) maintenant pour bien gérer le risque digital de cybersécurité si vous siégez sur un conseil d’administration au Canada.

Pourquoi la cybersécurité est-elle une responsabilité du conseil d’administration

Les cybermenaces ne concernent plus uniquement les entreprises technologiques ou les institutions gouvernementales. Chaque entreprise, qu’elle soit grande ou petite, est une entreprise numérique à un certain niveau.

Les conseils d’administration (CA) ont un devoir fiduciaire de s’assurer que les entreprises qu’ils supervisent soient résilientes, conformes et opèrent dans l’intérêt des parties prenantes.

Échouer d’adresser la cybermenace peut entraîner de graves conséquences : perturbations majeures des activités, perte de confiance des clients, sanctions et responsabilité personnelle pour les administrateurs.

En 2023, le coût moyen d’une violation de données au Canada était de $6.94 millions de dollars CA, parmi les plus élevés au monde, selon le rapport d’IBM sur le coût d’une violation des données.

Les cybermenaces clés que les conseils canadiens doivent comprendre.

Les cybermenaces sont dynamiques et complexes, mais voici quelques exemples plus urgents pour les entreprises canadiennes.

Attaques par rançongiciel

Les cybercriminels bloquent les systèmes et exigent un paiement. Même si la rançon est payée, il n’y a pas de garantie que les données seront restaurées et qu’il n’y aura pas de fuite.

Le nombre d’attaques par rançongiciel a explosé au cours des dernières années. Selon l’Évaluation des cybermenaces nationales 2025-2026, le paiement moyen estimé était de $1,13 million de dollars CAen 2023. Cela représente une augmentation de 150% depuis 2021.

Hameçonnage (phishing) et ingénierie sociale

Les cybercriminels ciblent souvent les données personnelles, financières et d’entreprises via des techniques d’ingénierie sociale comme l’hameçonnage. Il s’agit de courriels, de SMS et d’appels conçus pour tromper les employés (et les dirigeants) et leur faire divulguer des identifiants ou transférer des fonds.

Au Canada, l’hameçonnage figure parmi les fraudes les plus fréquemment signalées, tandis que les attaques ciblées (spearfishing) ont tendance à causer le plus de dommages financiers.

Ces attaques ciblées peuvent mener à la divulgation d’informations sensibles et des pertes financières pour les entreprises.

Menaces internes

Ce ne sont pas toutes les violations des données qui sont faites par des hackers externes, des employés mécontents ou négligents peuvent causer de sérieux dégâts.

Une personne peut tenter d’accéder aux systèmes sans autorisation pour diverses raisons : vengeance pour un conflit sur le lieu de travail, agir sous contrainte, ou par gains personnels ou financiers.

Des menaces internes peuvent venir de toute personne ayant un accès légitime aux systèmes : employés, fournisseurs et partenaires d’affaires.

Ce que les conseils canadiens doivent faire maintenant pour atténuer les risques cybernétiques

Il n’est pas suffisant de laisser les cybermenaces aux départements TI. Les conseils d’administration doivent montrer l’exemple. Voici comment :

Inclure régulièrement la cybersécurité à l’ordre du jour

Plusieurs dirigeants voient encore la cybersécurité comme un problème pour le département TI à “gérer”, plutôt qu’un risque stratégique nécessitant une supervision. La cybersécurité devrait être discutée au moins trimestriellement, avec des indicateurs sur les risques actuels et la préparation aux incidents.

S’assurer que les évaluations de risques sont à jour

Les menaces ne sont jamais statiques quand il s’agit de la cybersécurité. De nouveaux compétiteurs, technologies et vulnérabilités émergent tout le temps.

Sans évaluations à jour, les conseils et dirigeants prennent des décisions sur des profils de risques obsolètes, ce qui peut laisser la compagnie exposée.

Évaluer et tester les plans de réponse aux incidents

Évaluer et tester la réponse aux incidents est essentiel pour s’assurer qu’une organisation puisse réagir rapidement et efficacement quand un risque cyber se produit.

Un plan d’accident bien écrit est inutile si les personnes responsables de le mettre en action ne le comprennent pas ou ne peuvent pas agir sous pression. Des évaluations régulières assurent que le plan soit clair, pratique et aligné avec les capacités de l’organisation.

Les conseils devraient organiser des simulations de cyberincidents comme ils le feraient pour des catastrophes naturelles ou des crises financières.

Encourager une culture d’hygiène cybernétique

Encourager une culture d’hygiène cybernétique signifie intégrer des comportements quotidiens axés sur la sécurité.

La plupart des violations de données ont un élément humain : cliquer un lien malveillant, utiliser un mot de passe faible ou une mauvaise utilisation des données personnelles. Une forte culture d’hygiène cybernétique réduit ces risques en rendant les bonnes habitudes la norme.

Les conseils doivent donner l’exemple en affirmant que la sécurité est la responsabilité de tous.

Comprendre le cadre juridique

Au Canada, la Loi sur la protection des renseignements personnels et les documents électroniques (LPRDE) exige que les organisations signalent les violations de mesures de sécurité qui présentent un “risque réel de préjudice grave” pour les personnes concernées.

Dans ces rapports de violation, les organisations doivent inclure une panoplie d’informations telles que les détails de la violation et quand elle s’est produite.

Vérifiez la couverture d’assurance

N’assumez pas que votre police d’assurance couvre les cybermenaces. Plusieurs polices ne les couvrent pas ou offrent une protection minimale.

Les polices de cybermenaces peuvent varier. Chacune est composée de différents accords de couverture qui définissent les risques couverts. Des couvertures courantes incluent la responsabilité en matière de sécurité et de confidentialité, les interruptions et la reprise du réseau, les frais liés à l’assistance lors d’événements, la défense en matière de réglementation de la confidentialité, l’extorsion sur le réseau et la protection contre le vol électronique et la fraude par ingénierie sociale.

Puisque chaque entreprise a des risques uniques, certaines couvertures peuvent être plus importantes que d’autres. Travailler avec des consultants compétents vous garantit une police d’assurance adaptée à votre profil de risque et vous offre une protection adéquate sans ajouts supplémentaires inutiles.

Besoin de conseils sur la bonne cyberassurance pour votre entreprise?

La cybersécurité est complexe. Mais obtenir de l'aide ne doit pas nécessairement l'être. Les courtiers d'Axxima peuvent vous aider à examiner les solutions d'assurance cyber pour les entreprises canadiennes, allant des petites entreprises aux sociétés cotées en bourse.

Nos experts travaillent en étroite collaboration avec les conseils d'administration et les équipes de direction pour évaluer les risques cybernétiques, trouver la couverture d'assurance adéquate, anticiper les menaces émergentes et renforcer la résilience de votre cadre de gouvernance.

N'attendez pas une cyberattaque pour découvrir vos vulnérabilités.

Contactez dès aujourd'hui un courtier d’Axxima pour obtenir des conseils stratégiques et une protection complète.