Cybersécurité

Vue d’ensemble

Consulter notre livre blanc sur quoi faire avant, pendant et après un cyberincident

Utilisez notre questionnaire d’analyse des besoins en matière de cybersécurité

La cybersécurité est plus que jamais un enjeu auquel les organisations doivent prêter une attention particulière, quels que soient leur taille et leur secteur d’activité.

L’augmentation des attaques informatiques et des coûts associés aux fuites de données sont largement documentés. De même, la mobilité de l’information dans un contexte de télétravail, le recours au stockage infonuagique, l’automatisation des procédés, ainsi que la connectivité accrue des systèmes organisationnels augmentent la vulnérabilité des organisations aux cyberattaques. Les fuites de données peuvent en outre entraîner des conséquences néfastes non seulement sur la réputation d’une organisation auprès du public, mais également sur la gestion et la continuité de ses affaires courantes.

Les exigences législatives et réglementaires applicables aux organisations des secteurs public et privé qui détiennent des renseignements personnels sont également rehaussées, comme le démontre notamment l’adoption récente par l’Assemblée nationale du Québec du projet de la loi 64, dans la foulée d’incidents de sécurité très médiatisés.

Notre expertise

Notre offre de services couvre tous les aspects de la cybersécurité, de l’identification des risques à la compréhension des enjeux, en passant par la mise en œuvre des bonnes pratiques en matière de cyber vigilance et l’accompagnement en cas de recours intentés contre l’entreprise à la suite d’un bris de confidentialité.

Chez Lavery, nous possédons une profonde et vaste expérience ainsi que des connaissances spécialisées, notamment dans des contextes de gestion de crise en matière de :

  • Protection des données à caractère personnel et autres données sensibles
  • Technologies de l’information
  • Gouvernance technologique
  • La gestion du risque informatique
  • Litiges (y compris les actions collectives)
  • Droit du travail et de l’emploi

Notre équipe est constamment à l’affut des changements législatifs en matière de renseignements personnels, un domaine qui est présentement en ébullition. L’équipe de Lavery possède des connaissances sur les technologies de pointe, notamment les technologies d’« internet des objets », d’intelligence artificielle et d’informatique quantique, qui viendront bousculer les pratiques en cybersécurité dans les prochaines années.

Notre offre de services aux institutions privées et publiques

Conscients du fait que les aspects juridiques ne constituent qu’une partie des dimensions à traiter en ce qui concerne la cyber vigilance d’une organisation, notre offre de services inclut non seulement les services juridiques spécialisés dans la gestion de la sécurité informatique, mais également des services non juridiques englobant une panoplie d’activités de prévention et d’intervention qui permettent d’apporter une réponse efficace et opérationnelle autour de quatre axes :

  • Stratégie et transformation : Développer des stratégies et des programmes axés sur les besoins et les risques de l’entreprise, qui soutiennent la croissance et l’agilité en faisant de la cybersécurité et de la confidentialité une priorité à l’échelle de l’entreprise.
  • Gestion des incidents et des menaces : Préparer, identifier, répondre, enquêter et corriger les menaces en toute confiance.
  • Vie privée et protection des consommateurs : Concevoir, mettre en œuvre et opérer un programme de protection de la vie privée qui permet aux organisations de maximiser l’utilisation des données dans le respect de la loi, tout en favorisant la confiance des consommateurs.
  • Mise en œuvre et opérations : Concevoir, mettre en œuvre, opérer et améliorer l’utilisation des technologies de cybersécurité et surveiller en continu votre environnement pour détecter et contenir les menaces contre votre entreprise.

Notre offre de services aux PME

Notre cabinet a développé une offre de services adaptée aux besoins en cybersécurité des PME, notamment afin d’analyser leurs besoins en la matière ainsi que de repérer les possibles failles auxquelles elles devraient porter attention.

Dans un premier temps, l’organisation est invitée à compléter un questionnaire d’analyse des besoins en matière de cybersécurité.

Une fois le questionnaire rempli, nous sommes en mesure d’établir un diagnostic, de proposer des solutions et un plan d’action pour remédier aux aspects problématiques ainsi que de vous guider dans la mise en place de ces recommandations qui porteront sur :

  • Gouvernance de la cybersécurité : pour toute entreprise, un sain processus de prise de décision est important en matière de cybersécurité.
  • Processus liés aux employés, fournisseurs et sous-traitants : les décisions de l’entreprise en matière de cybersécurité ainsi que ses politiques doivent être communiquées adéquatement non seulement au sein de l’organisation, mais également à toutes les parties prenantes.
  • Protection des données et des renseignements personnels et loi canadienne anti-pourriel : si votre organisation recueille des données ou des renseignements personnels dans le cadre de ses activités, elle doit le faire dans le respect de la loi.
  • Volet technique et technologique pour accroître sa cybersécurité : les conseils juridiques et stratégiques associés à la mise en œuvre du plan d’action suite à notre analyse des besoins en matière de cybersécurité.

Mandats représentatifs

  • Conseiller un des plus importants ordres professionnels du Québec à l’occasion d’un bris de sécurité informatique majeur visant ses employés et ses membres.
  • Conseiller une grande entreprise canadienne de chimie à l’occasion d’un vol de données personnelles relatif à ses employés et clients.
  • Conseiller une association canadienne de planification fiscale et financière suite à une cyberattaque survenue chez son fournisseur de services informatiques.
  • Donner un avis juridique et conseiller un des plus importants organismes publics du Québec sur l’opportunité et le contenu d’une déclaration d’incident découlant d’un bris de confidentialité suite à une cyberattaque.
  • Conseiller une multinationale œuvrant dans le domaine du tabac sur les mesures à mettre en place en cas de bris de sécurité informatique et réviser ses politiques, directives et plans d’intervention à ce sujet.
  • Donner une formation aux cadres d’une multinationale œuvrant dans le domaine de l’assurance sur la sécurité des données.
  • Donner une formation à une firme de comptables et de fiscalistes importante sur la cybersécurité et la protection des données personnelles.
  • Conseiller une société d’État sur l’application des Règles générales de protection des données (RGPD) et créer une matrice permettant d’identifier les cas où ce régime juridique européen qui contient des règles en matière de bris de sécurité informatique qui doivent être appliquées.
  • Participer à des audits informatiques pour diverses entreprises en lien avec la protection des données, le tout dans le cadre d’un partenariat avec une firme internationale de services-conseils.
  • Conseiller une entreprise canadienne œuvrant dans le domaine des pièces de véhicule et ayant fait l’objet d’une demande de rançon suite à une intrusion injustifiée dans ses bases de données contenant l’ensemble des plans techniques de ses clients américains et européens œuvrant dans le domaine de la fabrication de véhicules.
  • Révision des règles de sécurité physique et logique des systèmes informatiques et de télécommunications de deux importantes institutions financières canadiennes et rédaction et négociation des obligations du fournisseur en matière de sécurité physique et logique de ces systèmes informatiques et de télécommunications à qui l’impartition de l’exploitation de ces mêmes systèmes a été confiée en vue d’assurer une protection contractuelle adéquate de ces institutions financières advenant un bris de confidentialité à l’égard des données à caractère personnel et autres données sensibles qui lui sont confiées.
  • Assistance d’un cabinet européen dans le cadre d’une importante fuite de données d’employés et de fournisseurs, touchant une multinationale dans le domaine de l’électronique et ses filiales dans plusieurs juridictions dans le monde.
  • Conseiller une société cotée en bourse dans la mise en place de mesures de gouvernance et de sécurité informatique pour le partage de secrets commerciaux entre ses différents sites au Canada, aux États-Unis et en Europe.
  • Représenter une société européenne victime d'un cyberincident pour réclamer des dommages-intérêts des responsables de l'incident situés au Canada.
  1. Les grandes oubliées de l’intelligence artificielle: réflexion sur des lois applicables aux technologies de l’information

    Alors que les législateurs, au Canada1 et ailleurs2, tentent de mieux encadrer le développement et l’usage de technologies d’intelligence artificielle, il est important de se rappeler que ces technologies se qualifient aussi dans la famille plus large des technologies de l’information. Depuis 2001, le Québec s’est doté d’une loi visant à encadrer les technologies de l’information. Trop souvent oubliée, cette loi trouve application directement dans l’utilisation de certaines technologies d’intelligence artificielle. La notion très large de documents technologiques D’une part, les documents technologiques visés par cette loi sont définis pour inclure toute forme d’information délimitée, structurée et intelligible3. La loi donne quelques exemples de documents technologiques visés par divers textes législatifs, y incluant des formulaires en ligne, des rapports, des photographies, des diagrammes et même des électrocardiogrammes! On peut donc comprendre que cette notion s’applique sans difficulté à divers formulaires des interfaces d’utilisation de diverses plateformes technologiques4. Qui plus est, ces documents technologiques ne sont pas limités à des renseignements personnels. Cela peut aussi viser des renseignements relatifs à des entreprises ou à divers organismes, qui sont hébergés sur une plateforme technologique. À titre d’exemple, la Cour supérieure a récemment appliqué cette loi pour reconnaître la valeur probante de lignes directrices de pratique et de normes techniques en matière d’imagerie médicale qui étaient accessibles sur un site web5. Une décision plus ancienne a aussi reconnu l’admissibilité en preuve du contenu d’agendas électroniques6. À cause de leur lourdeur algorithmique, plusieurs technologies d’intelligence artificielle sont offertes sous forme de logiciel en tant que service ou de plateforme en tant que service. Dans la plupart des cas, l’information saisie par une entreprise utilisatrice est transmise sur des serveurs contrôlés par le fournisseur, où elle est traitée par des algorithmes d’intelligence artificielle. C’est souvent le cas des systèmes avancés de gestion de la relation client (souvent désignés sous l’acronyme anglais CRM) et d’analyse de dossiers électroniques. C’est aussi le cas également d’une panoplie d’applications visant la reconnaissance vocale, la traduction de documents et l’aide à la décision pour des employés de l’utilisatrice. Dans le contexte de l’intelligence artificielle, les documents technologiques s’étendent donc vraisemblablement à ce qui est ainsi transmis, hébergé et traité sur des serveurs à distance. Des obligations réciproques La loi prévoit des obligations spécifiques lorsque des prestataires de services, notamment des fournisseurs de plateforme informatique, doivent garder de l’information. Citons l’article 26 de la loi : «26. Quiconque confie un document technologique à un prestataire de services pour qu’il en assure la garde est, au préalable, tenu d’informer le prestataire quant à la protection que requiert le document en ce qui a trait à la confidentialité de l’information et quant aux personnes qui sont habilitées à en prendre connaissance. Le prestataire de services est tenu, durant la période où il a la garde du document, de voir à ce que les moyens technologiques convenus soient mis en place pour en assurer la sécurité, en préserver l’intégrité et, le cas échéant, en protéger la confidentialité et en interdire l’accès à toute personne qui n’est pas habilitée à en prendre connaissance. Il doit de même assurer le respect de toute autre obligation prévue par la loi relativement à la conservation du document.» (note :  nos soulignements) Cet article impose donc un dialogue entre l’entreprise qui désire utiliser une plateforme technologique et le fournisseur de cette plateforme. D’une part, l’entreprise utilisatrice de la plateforme doit informer le fournisseur de la protection requise pour les renseignements qu’elle déposera sur la plateforme technologique. D’autre part, ce fournisseur a l’obligation de mettre en place des moyens technologiques de nature à en assurer la sécurité, l’intégrité et la confidentialité, correspondant à la protection requise qui lui est communiquée par l’utilisatrice. La loi ne spécifie pas quels moyens technologiques doivent être mis en place. Ces mesures doivent toutefois être raisonnables eu égard à la sensibilité des documents technologiques impliqués, du point de vue d’une personne possédant une expertise dans le domaine. Ainsi, un fournisseur qui offrirait une plateforme technologique comportant des modules désuets ou comportant des failles de sécurité connues se déchargerait-il de ses obligations en vertu de la loi? Cette question doit s’analyser dans le contexte de l’information que l’utilisatrice de la plateforme lui a transmise quant à la protection requise pour les documents technologiques. Un fournisseur ne doit toutefois pas cacher les risques liés à la sécurité de sa plateforme informatique à l’utilisatrice, ce qui irait à l’encontre des obligations d’information et de bonne foi des parties. Des individus sont impliqués? À ces obligations, il faut ajouter aussi la Charte des droits et libertés de la personne, qui s’applique également aux entreprises privées. Les entreprises qui traitent l’information pour le compte d’autrui doivent le faire dans le respect des principes de la Charte lorsqu’il s’agit de traiter des renseignements concernant divers individus. À titre d’exemple, si un fournisseur d’une plateforme informatique de gestion de la relation client offre des fonctionnalités permettant de classifier les clients ou d’aider les entreprises à répondre à leurs demandes, ce traitement d’information doit demeurer exempt de biais fondés sur la race, la couleur, le sexe, l’identité ou l’expression de genre, la grossesse, l’orientation sexuelle, l’état civil, l’âge (sauf dans la mesure prévue par la loi), la religion, les convictions politiques, la langue, l’origine ethnique ou nationale, la condition sociale, le handicap ou l’utilisation d’un moyen pour pallier ce handicap7. Un algorithme d’intelligence artificielle ne devrait en aucun cas suggérer à un commerçant de refuser de conclure des contrats avec un individu sur une telle base discriminatoire8. De plus, une personne qui recueille des renseignements personnels à l’aide de technologies permettant le profilage d’individus doit en aviser ces personnes au préalable9. Bref, loin du Far West décrié par certains, l’usage de l’intelligence artificielle doit se faire dans le respect des lois déjà en place, auxquelles s’ajouteront vraisemblablement de nouvelles lois plus spécifiques à l’intelligence artificielle. Si vous avez des questions relativement à l’application de ces lois à vos systèmes d’intelligence artificielle, n’hésitez pas à contacter un de nos professionnels. Projet de loi C-27, Loi de 2022 sur la mise en œuvre de la Charte du numérique. Notamment, aux États-Unis, Executive Order on the Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence du 30 octobre 2023. Loi concernant le cadre juridique des technologies de l'information, RLRQ c C-1.1, art. 3. Idem, art. 71. Tessier c. Charland, 2023 QCCS 3355. Lefebvre Frères ltée c. Giraldeau, 2009 QCCS 404. Charte des droits et libertés de la personne, art. 10. Idem, art. 12. Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ c P-39.1, art. 8.1.

    Lire la suite
  2. Intelligence artificielle en entreprise : gérer les risques tout en tirant profit des bénéfices?

    À l’heure même où certains exigent une suspension temporaire de la recherche en intelligence artificielle et du développement de systèmes avancés et que d’autres souhaitent remettre le génie dans la bouteille, on peut se demander quel sera l’effet des technologies conversationnelles (ChatGPT, Bard et autres) au sein des entreprises et en milieu de travail. Certaines entreprises en encouragent l’usage, d’autres les interdisent, mais beaucoup n’ont toujours pas pris position. Nous croyons qu’il est impératif que toute entreprise adopte une position claire et guide ses employés en ce qui a trait à l’usage de ces technologies. Avant de décider quelle position adopter, une entreprise doit être consciente des différents enjeux juridiques liés à l’usage de ces formes d’intelligence artificielle. Si l’entreprise décide d’en permettre l’usage, elle doit alors être en mesure de bien encadrer cet usage et surtout les résultats et les applications qui en découleront. Force est de constater que de tels outils technologiques présentent à la fois des avantages non négligeables susceptibles de soulever les passions, pensons notamment à la rapidité avec laquelle ces technologies conversationnelles réussissent à fournir une information à la fois surprenante et intéressante, et des risques indéniables quant aux avancées qui peuvent en résulter. Nous résumons dans le présent texte quelques risques qui, à très court terme, guettent les entreprises, ainsi que leurs clients, employés et partenaires, dans le cadre de leur utilisation de ces outils. Risques d’erreurs et responsabilité Les médias ont abondamment relaté les errances et les inexactitudes des robots conversationnels qui génèrent du texte. Dans certains cas, on parle même « d’hallucinations », où le robot conversationnel invente une réalité qui n’existe pas. Cela n’est pas surprenant. D’une part, ces technologies s’abreuvent à l’Internet, qui est truffé de désinformation et d’inexactitudes, et d’autre part, on s’attend à ce que ces robots conversationnels « créent » de nouveaux textes. Ils n’ont pas, pour le moment du moins, de balises suffisantes pour utiliser cette « créativité » uniquement à bon escient. On peut facilement imaginer des situations où un employé utiliserait une telle technologie pour produire du contenu destiné à être utilisé par son employeur à des fins commerciales. Surgit alors un danger évident pour l’entreprise si des mesures de contrôle appropriées ne sont pas mises en place. Le contenu ainsi généré pourrait s’avérer erroné, et ce d’une manière à tromper les clients de l’entreprise. Ce risque serait particulièrement important si le contenu ainsi généré fait l’objet d’une diffusion, par exemple en étant affiché sur le site web de l’entreprise ou utilisé dans une campagne de publicité. Dans un tel cas, l’entreprise pourrait vraisemblablement être responsable du préjudice ainsi causé par son employé, celui-ci s’étant fié à une technologie qu’on sait défaillante. Cet enjeu de fiabilité de ces outils, surtout lorsqu’ils sont utilisés de façon peu encadrée, demeure à ce jour l’un de plus préoccupant. Diffamation Imaginons qu’une telle information erronée concerne de surcroît une personne connue ou une entreprise concurrente. D’un point de vue juridique, une entreprise qui diffuse un tel contenu sans mettre en place des balises pour s’assurer que des vérifications adéquates ont été faites pourrait s’exposer à des poursuites en diffamation ou pour publicité trompeuse. Il semble donc impératif d’adopter des mesures faisant en sorte que tout contenu tiré de ces technologies soit minutieusement validé avant tout usage commercial. Plusieurs auteurs suggèrent que les résultats générés par un tel outil d’intelligence artificielle devraient davantage servir d’aide pour l’analyse et la prise de décision, que de produits ou résultats finaux. Cependant, la vitesse à laquelle les entreprises adopteront ces outils et en bénéficieront, notamment sur le plan concurrentiel, pourrait devancer la vitesse à laquelle les bonnes pratiques et la réglementation viendront les gouverner. Enjeux de propriété intellectuelle Les robots conversationnels qui émergent ont été développés en vue de constituer des extensions aux moteurs de recherche du web, tels Google et Bing. Il est possible que le contenu généré par les robots conversationnels s’inspire de contenus web déjà existants et assujettis à des droits d’auteur, et qu’il en reprenne même parfois des portions substantielles.  Cela pourrait entraîner une violation de droits d’auteur. Si l’utilisateur limite son usage à des fins de recherche interne, le risque est alors limité puisque la loi prévoit une exception pour un usage équitable dans un tel contexte. Par contre, si son intention est de diffuser le texte à des fins commerciales, il y a un risque de violation de droits d’auteur. Ce risque est particulièrement présent lorsqu’on demande à un robot conversationnel de générer du contenu sur un sujet ciblé pour lequel il existe peu de références sur le web. Une autre question pour laquelle les réponses ne sont pas encore claires est celle de savoir qui détiendra les droits sur les réponses et les résultats découlant d’un tel outil, notamment si ces réponses et ces résultats font l’objet de diverses adaptations ou modifications avant leur ultime utilisation. Enjeux de confidentialité et de protection des renseignements personnels À la lecture de leurs modalités et conditions d’utilisation, la plupart de ces technologies conversationnelles ne semblent pas prévoir un usage qui soit confidentiel. Il est donc impensable de leur révéler des secrets commerciaux ou des renseignements confidentiels. Qui plus est, ces technologies ne sont pas conçues pour recevoir ni pour protéger des renseignements personnels conformément aux lois et règlements applicables dans les juridictions où elles pourraient être utilisées. Leurs propriétaires se dégagent généralement de toute responsabilité à cet égard. Autres enjeux Quelques autres enjeux importants méritent d’être soulignés parmi ceux qu’il est possible d’anticiper à ce jour. Premièrement, les possibles biais discriminatoires que certains attribuent aux outils d’intelligence artificielle, lorsque combinés avec le peu de règlementation de ces outils, peuvent entrainer des conséquences significatives pour divers groupes de la population. Deuxièmement, on ne peut pas passer sous silence les nombreux enjeux éthiques associés aux applications d’intelligence artificielle qui seront développées dans divers secteurs (médecine, justice, politique, etc.).  Les enjeux seront d’autant plus grands lorsque ces mêmes applications seront utilisées dans des juridictions où les lois, les coutumes et la culture (économiques, politiques et sociales) sont différentes. Enfin, les risques de conflit ne peuvent pas être ignorés. Qu’il s’agisse de conflits entre groupes prônant différentes valeurs, entre organisations ayant des objectifs opposés, ou même entre nations, il est difficile de prédire si et comment les avancées en matière d’intelligence artificielle permettront de solutionner ou d’apaiser de tels conflits ou si au contraire elles les envenimeront. Conclusion Ces technologies conversationnelles présentent un grand potentiel, mais soulèvent aussi des enjeux juridiques sérieux. À court terme, il semble peu probable que ces outils puissent légitimement se substituer au jugement humain, lui-même imparfait. Mais tout comme l’a fait la révolution industrielle il y a deux siècles, l’arrivée de ces technologies entraînera des changements importants et rapides au sein des entreprises. Il est important de préparer dès maintenant des politiques visant à encadrer l’usage de ces technologies au sein de votre entreprise. De plus, si votre entreprise doit intégrer une telle technologie dans le cadre de ses activités, nous vous recommandons de procéder à une étude attentive de ses modalités et conditions d’utilisation afin de vous assurer qu’elles sont compatibles avec le projet et les objectifs que votre entreprise souhaite réaliser grâce à elle.

    Lire la suite
  3. La cybersécurité et les dangers liés à l’Internet des objets

    Alors que le gouvernement canadien manifeste son intention de légiférer en matière de cybersécurité (voir le projet de loi C-26 visant à mettre en place une Loi sur la protection des cybersystèmes essentiels), plusieurs entreprises ont déjà entrepris des démarches sérieuses pour sécuriser leurs infrastructures informatiques. Toutefois, l’Internet des objets et trop souvent négligé lors de ces démarches. Pourtant, plusieurs appareils sont directement connectés aux infrastructures informatiques les plus importantes pour les entreprises. Les robots industriels, les dispositifs qui contrôlent l’équipement de production en usine ou ceux qui aident les employés sur la route à effectuer leurs livraisons en sont des exemples. Des systèmes d’exploitation ainsi que diverses applications sont installés sur ces appareils. Le fonctionnement même de nombreuses entreprises et la sécurité de certains renseignements personnels dépendent de la sécurité de ces appareils et de leurs logiciels. Par exemple : Une attaque pourrait viser les systèmes de contrôle d’équipement de fabrication en usine et entraîner une interruption de la production de l’entreprise ainsi que des coûts importants de remise en fonction et des délais de production; En visant les équipements de production et les robots industriels, un attaquant pourrait subtiliser les plans et les paramètres de fabrication de différents procédés, ce qui pourrait mettre en péril les secrets industriels d’une entreprise; Des lecteurs de codes à barres utilisés pour la livraison de colis pourraient être infectés et transmettre des renseignements, notamment des renseignements personnels, à des pirates informatiques L’Open Web Application Security Project (OWASP), un organisme sans but lucratif, a publié une liste des dix plus grands risques de sécurité pour l’Internet des objets1. Les gestionnaires d’entreprises qui utilisent de tels équipements doivent être conscients de ces enjeux et prendre des mesures pour mitiger ces risques. Nous nous permettons de commenter certains de ces risques dont la mitigation requiert des politiques adaptées et une saine gouvernance au sein de l’entreprise : Mots de passe faibles ou immuables : certains dispositifs sont vendus avec des mots de passe initiaux connus ou faibles. Il est important de s’assurer que, dès leur installation, ces mots de passe sont changés, puis d’en garder un contrôle serré. Seul le personnel informatique désigné devrait connaître les mots de passe permettant de configurer ces appareils. De plus, il faut éviter d’acquérir des équipements ne permettant pas une gestion de mots de passe (par exemple, dont le mot de passe est immuable). Absence de mises à jour : l’Internet des objets repose souvent sur des ordinateurs dont les systèmes d’exploitation ne sont pas mis à jour pendant leur durée de vie. Il en résulte que certains appareils sont vulnérables parce qu’ils utilisent des systèmes d’exploitation et des logiciels ayant des vulnérabilités connues. À cet égard, une saine gouvernance permet d’une part de s’assurer que de tels appareils sont mis à jour, et d’autre part, de n’acquérir que des appareils permettant de procéder aisément à de telles mises à jour régulières. Gestion déficiente du parc d’appareils connectés : Certaines entreprises n’ont pas un portrait clair de l’Internet des objets déployés au sein de leur entreprise. Il est impératif d’avoir un inventaire de ces appareils, de leur rôle au sein de l’entreprise, du type de renseignements qui s’y trouvent et des paramètres essentiels à leur sécurité. Manque de sécurité physique : Dans la mesure du possible, l’accès à ces appareils devrait être sécurisé. Trop souvent, des appareils sont laissés sans surveillance dans des lieux où ils sont accessibles au public. Des directives claires doivent être données aux employés pour que ceux-ci adoptent des pratiques sécuritaires, notamment en ce qui concerne l’équipement destiné à être déployé sur la route. Le conseil d’administration d’une entreprise joue un rôle clé en matière de cybersécurité. En effet, le défaut des administrateurs de s’assurer qu’un système de contrôle adéquat est mis en place et d’assurer une surveillance des risques peut engager leur responsabilité. Dans ce contexte, voici quelques éléments que les entreprises devraient considérer pour assurer une saine gouvernance : Revoir la composition du conseil d’administration et réviser la matrice des compétences afin de s’assurer que l’équipe possède les compétences requises; Offrir de la formation à tous les membres du conseil d’administration afin de développer la cybervigilance et leur donner des outils pour remplir leur devoir d’administrateur; et Évaluer les risques associés à la cybersécurité, notamment ceux découlant des appareils connectés, et établir les moyens de mitiger ces risques. La Loi 25, soit la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, prévoit plusieurs obligations destinées au conseil d’administration, notamment celle de nommer un responsable de la protection des renseignements personnels et celle d’avoir un plan de gestion et un registre des incidents de confidentialité. À cet effet, nous vous invitons à consulter le bulletin suivant : Modifications aux lois sur la protection des renseignements personnels : ce que les entreprises doivent savoir (lavery.ca) Finalement, une entreprise doit en tout temps s’assurer que les identifiants, mots de passe et autorisations auprès des fournisseurs permettant au personnel informatique d’intervenir  ne sont pas entre les mains d’une seule personne ou d’un seul fournisseur. Ceci placerait l’entreprise en position de vulnérabilité si la relation avec cette personne ou ce fournisseur venait à se dégrader. Voir notamment OWASP top 10

    Lire la suite
  1. Lavery accompagne Agendrix dans l’obtention de deux certifications ISO en matière de sécurité et de confidentialité des données

    Le 6 février 2023, Agendrix, une entreprise qui opère un logiciel de gestion du personnel, a annoncé avoir obtenu la certification de deux normes de sécurité et de confidentialité des données reconnues mondialement, soit ISO/CEI 27001:2013 et ISO/IEC 27701:2019. Elle devient l’un des premiers fournisseurs de logiciel de gestion du personnel et des horaires de travail au Canada à obtenir ces certifications. L’entreprise prend les devants pour tout ce qui touche la sécurité et la confidentialité des données traitées par ses applications web et mobile. La norme ISO/CEI 27001:2013 vise à améliorer les systèmes de sécurité de l’information, ce qui signifie pour les clients d’Agendrix que ses produits sont conformes aux plus hauts standards de sécurité de l’information. La norme ISO/IEC 27701:2019 encadre la gestion et le traitement des renseignements personnels et des données sensibles. La certification confirme qu’Agendrix adopte les meilleures pratiques en la matière et se conforme aux lois applicables. Une équipe Lavery composée de Eric Lavallée, Dave Bouchard, Ghiles Helli et Catherine Voyer ont accompagné Agendrix dans l’obtention de ces deux certifications. Plus spécifiquement, nos professionnels ont accompagné Agendrix dans la révision de leur contrat-type avec leurs clients, ainsi que dans la mise en place de politiques et de divers documents internes essentiels à la gestion des renseignements personnels et à la sécurité de l’information. Fondée en 2015, l’entreprise sherbrookoise Agendrix compte plus de 150 000 utilisateurs dans quelque 13 000 milieux de travail. Agendrix est un logiciel de gestion du personnel et se positionne comme leader au Québec en matière de gestion des horaires de travail auprès des PME. Agendrix a pour mission de centrer la gestion sur l'humain en développant un logiciel qui simplifie la vie des employés de première ligne. L’entreprise emploie aujourd’hui plus de 45 employés.

    Lire la suite
  2. Lavery représente ImmunoPrecise Antibodies dans l’acquisition de BioStrand

    Le 29 mars 2022, la société ImmunoPrecise Antibodies Ltd (IPA) a annoncé l’acquisition de BioStrand BV, BioKey BV, et BioClue BV (ensemble, « BioStrand »), un groupe d'entités belges qui sont des pionnières dans le domaine de la bio-informatique et de la biotechnologie. Avec cette acquisition d’une valeur de 20 millions d’euros, IPA sera en mesure de tirer profit de la méthodologie révolutionnaire alimentée par l'intelligence artificielle mise en place par BioStrand pour accélérer la mise au point de solutions d’anticorps thérapeutiques. Outre la création de synergie avec ses filiales, IPA s'attend à conquérir de nouveaux marchés avec cette technologie révolutionnaire et consolider son positionnement comme leader mondial du domaine de la biothérapeutique. Lavery a eu le privilège d’accompagner IPA dans le cadre de cette transaction transfrontalière en lui fournissant une expertise pointue en matière de cybersécurité, propriété intellectuelle, valeurs mobilières, de même que fusions et acquisitions. L’équipe Lavery pilotée par Selena Lu (transactionnel) était composée d’Eric Lavallée (technologie et propriété intellectuelle), Serge Shahinian (propriété intellectuelle), Sébastien Vézina (valeurs mobilières), Catherine Méthot (transactionnel), Jean-Paul Timothée (valeurs mobilières et transactionnel), Siddhartha Borissov-Beausoleil (transactionnel), Mylène Vallières (valeurs mobilières) et Marie-Claude Côté (valeurs mobilières). ImmunoPrecise Antibodies Ltd. est une entreprise biothérapeutique axée sur l'innovation qui soutient ses partenaires commerciaux dans leur quête de découverte et de mise au point de nouveaux anticorps contre un large éventail de classes cibles et de maladies.

    Lire la suite