Aperçu de l’horizon des menaces en cybersécurité : Perspectives 2025 Les incidents de confidentialité – Partie 1

Cet article fait partie de notre série Perspectives 2025 : Les incidents de confidentialité, conçue pour aider les entreprises à naviguer le cadre en évolution des incidents de confidentialité. À mesure que les menaces liées aux atteintes à la vie privée deviennent plus sophistiquées et que la surveillance réglementaire s'intensifie, les entreprises sont confrontées à des risques juridiques, financiers et opérationnels de plus en plus importants. Afin d’anticiper ces défis, chaque article dans cette série fournit des informations concrètes pour se préparer aux incidents de confidentialité, aux obligations de conformité règlementaire et pour atténuer les risques. Découvrez la série complète ici.
Ceci est la première partie de notre série de blogs Perspectives 2025 : Les incidents de confidentialité. Cette série présente une vue d’ensemble du paysage actuel des menaces liées aux incidents de confidentialité (les « incidents »), offrant un aperçu des défis potentiels que les entreprises pourraient rencontrer au cours de l’année, et possiblement au fur et à mesure qu’un incident se déroule. Une grande partie des données citées dans cette Partie vont au-delà des incidents impliquant des renseignements personnels ; cependant, toutes restent pertinentes pour comprendre le paysage actuel des incidents de confidentialité.
Les incidents ont été un problème significatif et coûteux pour les entreprises en 2024 et cela devrait se maintenir en 2025. Selon un rapport d'IBM publié en juillet 2024 intitulé « Cost of a Data Breach 2024 » (le « Rapport IBM »), le coût moyen d'un incident au Canada était de 4,66 millions dollars américains[1] (soit environ 6,64 millions dollars canadiens).[2] Les coûts découlant des incidents proviennent des perturbations opérationnelles, de la réponse aux incidents (par exemple, la cyberenquête et l'e-discovery), et de la conformité avec les lois sur la vie privée applicables (et souvent chevauchantes), y compris les exigences de notification d’incident et de tenue de registres. Au Québec, la Loi sur la protection des renseignements personnels dans le secteur privé (la « Loi québécoise ») permet d'imposer des amendes sévères liées aux incidents et aux réponses aux incidents, pouvant atteindre 2 % du chiffre d'affaires mondial ou 10 millions de dollars pour des amendes administratives, et jusqu'à 4 % ou 25 millions de dollars pour des amendes pénales. Compte tenu des coûts élevés résultants des incidents, qui d’ailleurs ne montrent aucun signe de diminution, les entreprises devraient surveiller attentivement le paysage des menaces afin de renforcer leur préparation et les stratégies d'atténuation des risques.
L’horizon des menaces externes
(a) Perspectives des menaces externes
Ces dernières années, de nombreuses entreprises ont accepté la dure réalité qu’il ne s’agit pas de savoir « si », mais plutôt « quand », « à quel point ce sera grave » et « à quel point nous serons prêts » lorsque des acteurs externes parviendront à pénétrer leurs défenses. Ce sentiment est partagé par le Centre canadien pour la cybersécurité (le « CCCS »). Dans son Évaluation des cybermenaces nationales 2025-2026 (l’« ECN 25/26 »), le CCCS écrit que « [L]e Canada se retrouve dans une nouvelle ère de cybervulnérabilité, où les cybermenaces sont omniprésentes et où les Canadiennes et Canadiens ressentiront de plus en plus les répercussions des cyberincidents qui s’enchaînent et perturbent leur vie quotidienne ».[3]
(i) Augmentation du nombre d’acteurs malveillants
Comme l’explique Google Cloud Security dans son rapport « Cybersecurity Forecast 2025 » (le « Rapport Google »), il y a une « démocratisation des cybercapacités » en raison d’acteurs moins sophistiqués qui mettent la main sur des outils avancés. Ces outils sont accessibles à des acteurs malveillants de tous calibres et de toutes sortes par ce qui est désigné comme le « Cybercrime-as-a-Service » (le « CaaS »)[4] par le CCCS.[5] À travers le CaaS, des acteurs de menaces spécialisés distribuent des outils malveillants ou des données volées à d'autres criminels, souvent moins techniquement compétents, via des places de marché en ligne criminelles.[6] L'effet net du CaaS est l'abaissement (et même la suppression pure et simple) des barrières à l'entrée pour les cybercriminels potentiels, augmentant ainsi le nombre d'acteurs de menaces externes.
(ii) Augmentation de la sophistication
Outils alimentés par l’IA. Un facteur majeur qui devrait continuer à façonner le paysage des risques est l'augmentation de l'utilisation d'outils de haute qualité alimentés par l'intelligence artificielle (l’ « IA ») par les acteurs de menaces. Dans l'ECN 25/26, le CCCS écrit que « Les technologies d’IA réduisent presque certainement les obstacles à l’entrée et augmentent la qualité, l’ampleur et la précision des activités de cybermenace malveillantes ».[7]
CaaS. En plus de réduire les barrières à l'entrée pour les acteurs de menaces, le CaaS est également utile pour les entreprises criminelles établies. Le CaaS offre aux entreprises criminelles établies l'accès à des outils et des données spécialisés qui leur permettent d'améliorer et d'augmenter leurs activités de cybercriminalité existantes.[8]
(iii) Menaces externes clés
Les menaces externes suivantes devraient représenter des risques significatifs pour les entreprises tout au long de l'année 2025.
A. Le rançongiciel (Ransomware)
La plupart des rapports axés sur les données indiquent que le rançongiciel reste un risque omniprésent pour les entreprises. Le rapport ECN 25/26 explique que le rançongiciel « continuera presque certainement de croître au cours des deux prochaines années »[9], notant que les acteurs du rançongiciel se sont probablement remis de la pression accrue des forces de l'ordre et d'autres perturbations de l'écosystème du rançongiciel des dernières années.[10]
Les entreprises devraient prendre en compte les tendances suivantes en matière de rançongiciel lorsqu'elles élaborent leurs stratégies de prévention et de réponse.
- Un modèle centré sur les affiliés : Une version du CaaS a également remodelé l'écosystème du rançongiciel avec un modèle de « rançongiciel en tant que service » (ransomware-as-a-service) ou « RaaS ». Dans le modèle RaaS, les organisations d'acteurs de menaces mères vendent ou louent leur variante de rançongiciel à des affiliés.[11] Un résultat notable de cette externalisation « sous marque blanche » aux affiliés est une volatilité accrue dans le comportement des acteurs de menaces. Par exemple, l'entreprise victime A pourrait avoir une expérience très différente de l'entreprise victime B lorsqu'elle traite avec le même type d’organisation d'acteurs de menaces. Il est tout à fait possible qu'après paiement, une victime reçoive une clé de déchiffrement fonctionnelle et l'assurance que ses données compromises seront supprimées, tandis que l'autre victime reçoive une clé dysfonctionnelle et voit ses données publiées sur le dark web.
- Meilleures tactiques d'obscurcissement : Les acteurs de menaces développent continuellement de nouvelles tactiques et stratégies pour mieux se cacher dans l'environnement de la victime. Le rapport ECN 25/26 indique que les acteurs de menaces utilisent des techniques de chiffrement de plus en plus avancées pour rendre plus difficile la récupération des données par les victimes (par exemple, chiffrement hybride et multicouche).[12] Les acteurs de menaces « vivent sur le terrain » – restant non détectés dans le réseau de la victime – pendant de plus longues périodes afin d'augmenter leur mouvement latéral et l'efficacité de leur attaque avant de déposer une note de rançon.[13]
B. Attaques par piratage psychologique
Les attaques par piratage psychologique, telles que l’hameçonnage (phishing), le « pretexting » et l'usurpation d'identité, devraient se maintenir en tant que menaces externes majeures en 2025. L'intelligence artificielle générative devrait jouer un rôle majeur, les acteurs de menaces utilisant des « deepfakes » de haute qualité et d'autres contenus hyperréalistes pour établir leur légitimité auprès des victimes.[14] Le contenu généré par l'IA a tendance à mieux éviter les indices traditionnels des attaques par piratage psychologique, tels que les erreurs grammaticales et typographiques et le manque de personnalisation.[15]
C. Attaques sur la chaîne d’approvisionnement
Alors que les entreprises continuent d'adopter la transformation numérique et d'intégrer des piles technologiques sophistiquées, leur dépendance envers des fournisseurs spécialisés qui fournissent ces solutions avancées augmente également. La plupart des entreprises s'appuient sur des fournisseurs tiers pour des fonctions commerciales clés telles que l'hébergement à l'échelle d’entreprise (par exemple, AWS et Azure) et les solutions de planification des ressources de l'entreprise, qui peuvent inclure la gestion de la relation client (GRC) et la gestion des ressources humaines (GRH). La plupart de ces fournisseurs traiteront des données sensibles appartenant à l'entreprise, y compris les renseignements personnels des employés et des clients.
Le rapport ECN 25/26 signale que la concentration des fournisseurs augmente les vulnérabilités en cybersécurité.[16] À mesure que les clients se concentrent autour des mêmes grands fournisseurs de technologie, ces fournisseurs deviennent des plaques tournantes centralisées de grandes quantités de données. Cette concentration les rend des cibles attrayantes pour les acteurs de menaces, qui, en compromettant un seul fournisseur, peuvent potentiellement accéder aux données sensibles de plusieurs entreprises à la fois. Un bon exemple remonte à 2023 lorsque CLOP – une souche de rançongiciel – a été utilisée pour attaquer MOVEit, le fournisseur de transfert de fichiers utilisé par des milliers d'entreprises dans le monde. Le seul incident a touché environ 2 750 entreprises, 94 millions d'individus et a entraîné environ 100 millions de dollars américains en paiements de rançon.[17]
Étant donné la rentabilité d'attaquer ces fournisseurs fortement concentrés, le rapport ECN 25/26 s'attend à ce que ce style d'attaque persiste dans les deux prochaines années. Le rapport Google note que bien que ce style d'attaque ait tendance à augmenter depuis 2018, « le nombre de fournisseurs ciblés a atteint un niveau record en 2023 ».[18] Google s'attend également à ce que le nombre de fournisseurs ciblés augmente.[19]
Selon les lois canadiennes sur la protection de la vie privée, une entreprise reste responsable des renseignements personnels qu'elle partage avec un fournisseur tiers qui traite des données en son nom. Par conséquent, si un fournisseur de l'entreprise est compromis et que les renseignements personnels appartenant à l'entreprise sont compromis, en fonction des faits, l'incident peut également être considéré comme un incident de l'entreprise. Dans de telles situations, l'entreprise doit s'assurer que toutes ses actions en réponse à l’incident satisfont à ses propres obligations de tenue de registres et de notification des incidents en vertu des lois sur la protection de la vie privée. Cela souligne le besoin critique pour les entreprises d'exercer une surveillance rigoureuse et de mettre en œuvre des mesures robustes de protection des données (y compris des contrôles contractuels solides) lorsqu'elles s'engagent avec des fournisseurs tiers.
(b) Stratégies d’atténuation
Les entreprises devraient envisager d'inclure les éléments suivants dans leurs stratégies pour atténuer les menaces externes identifiées ci-dessus.
(i) Plan de réponse aux incidents
Un plan de réponse aux incidents qui évolue en fonction des menaces est un outil incroyablement utile pour aider à garder l'entreprise organisée lorsqu'un incident se produit. Étant donné le paysage actuel des menaces, il est impératif pour les entreprises de mettre à jour régulièrement leurs plans afin de répondre efficacement à la menace continuelle d'attaque. Répondre à une attaque nécessite souvent l'aide de certains prestataires de services, notamment pour la négociation de rançon et l'analyse forensique. Il est donc crucial que le plan délimite une stratégie claire qui permet à l'entreprise de maintenir le privilège juridique tout au long du processus de réponse aux incidents. Cela inclut la participation d'un conseiller juridique et la garantie que les communications et les activités lors de la période de réponse à l’incident soient appropriées et protégées.
Le plan de réponse devrait intégrer les leçons apprises au fil du temps. Les entreprises doivent effectuer des simulations – souvent appelées exercices de table ronde – pour tester l'efficacité de leurs plans. Ces simulations devraient intégrer des éléments caractéristiques du contexte actuel des menaces, tels que la nature erratique d'un affilié de rançongiciel ou le contenu hyperréaliste dans une attaque par piratage psychologique alimentée par l'IA. Suite à de telles simulations ou à un incident réel, une entreprise devrait ajuster son plan pour refléter les lacunes dans sa réponse.
(ii) Hygiène des données
Les entreprises doivent s'assurer qu'elles conservent les renseignements personnels seulement pendant la durée raisonnablement nécessaire pour remplir les finalités pour lesquelles ces renseignements ont été récoltés (ou selon ce qui est autrement légalement requis). La rétention hygiénique des données n'est pas seulement une exigence en vertu des lois canadiennes sur la protection de la vie privée, mais celle-ci est aussi une bonne stratégie pour atténuer le risque d'attaque en donnant moins de données aux acteurs de la menace à crypter et exfiltrer. En pratique, cela signifie que les entreprises doivent savoir quelles données elles possèdent (c'est-à-dire cartographier leurs données) et mettre en œuvre une politique et un processus de rétention de données avec des périodes de rétention clairement définies. La gouvernance de l'information est un défi pour la plupart des organisations - les approches pragmatiques peuvent inclure la réduction de l'exposition par l'archivage (c'est-à-dire le stockage hors ligne) et la dé-identification.
De même, lorsqu'il s'agit de partager des renseignements personnels avec des fournisseurs, les entreprises doivent faire preuve de diligence en restreignant les données partagées uniquement à ce qui est nécessaire pour que le fournisseur exécute ses services contractuels. Cette approche ciblée du partage des données aide à atténuer le risque accru d’incidents qui peuvent survenir lorsque les acteurs de la menace ciblent des fournisseurs centralisés ayant accès à de grands volumes renseignements personnels.
(iii) Gestion des fournisseurs
Atténuer les risques d’incidents de confidentialité lorsqu'un fournisseur traite des renseignements personnels pour le compte d'une entreprise est crucial, car les acteurs de menaces ciblent de plus en plus ces fournisseurs. Les entreprises devraient envisager les éléments suivants lors de
l'élaboration de leur stratégie de gestion des fournisseurs :
- Diligence envers les fournisseurs. Les entreprises devraient avoir un processus standard pour évaluer les contrôles de sécurité et de confidentialité de leurs fournisseurs. Étant donné la menace omniprésente des rançongiciels, les entreprises devraient porter une attention particulière aux contrôles qui atténuent ce risque, tel que les normes de chiffrement utilisées par le fournisseur pour les données au repos et en transit, les méthodologies de ségrégation des données, les contrôles des sous-traitants et les exigences de sauvegarde des données.
- Mesures contractuelles. Des mesures contractuelles appropriées sont un autre aspect nécessaire d'une stratégie de gestion des fournisseurs. Certaines lois sur la vie privée exigent qu'un contrat écrit soit conclu avec les prestataires de services. Par exemple, l'article 18.3 de la Loi québécoise stipule que les renseignements personnels ne peuvent être partagés avec un prestataire de services sans avoir obtenu le consentement que si un contrat écrit contenant certaines mesures de sécurité de base est conclu.
Compte tenu du risque accru que les fournisseurs principaux soient ciblés, les entreprises devraient envisager les mesures suivantes :
- Notifications de l’incident – Le contrat doit fournir une définition claire des incidents ainsi qu'un ensemble d'obligations du fournisseur qui permettraient à l'entreprise de se conformer à ses obligations en vertu des lois sur la vie privée. Ces obligations devraient inclure (i) la notification de l’incident à l'entreprise rapidement et dans tous les cas, dans un délai maximal, (ii) le partage d'informations sur l’incident avec l'entreprise selon ce qui est raisonnablement nécessaire pour que l'entreprise se conforme à ses obligations d'enregistrement et de notification et (iii) la prise rapide de mesures de confinement et de remédiation.
- Clarté sur les obligations de notification – Il existe un historique de confusion quant à la partie ayant l'obligation de notification au Canada. Bien que nous n'ayons pas formellement des concepts de « responsable du traitement » ou de « sous-traitant » en vertu des lois canadiennes sur la vie privée dans le secteur privé comme c'est le cas sous le Règlement général sur la protection des données (RGPD) de l’Union européenne, nous avons un principe selon lequel une entreprise reste responsable des renseignements personnels sous son contrôle. Cependant, il est presque toujours préférable de délimiter clairement quelle partie est responsable de la notification de l’incident, en particulier lorsqu'on entre dans des zones grises, comme lorsque des renseignements personnels sont « divulgués » au fournisseur à des fins propres au fournisseur (c'est-à-dire que le fournisseur ne traite pas les données pour le compte de l'entreprise). Dans de tels scénarios, les obligations de notification de l’incident peuvent ne pas incomber clairement au fournisseur et/ou à l'entreprise. Il est important d'avoir cette discussion avec les fournisseurs d'une entreprise, puis de s'assurer que les rôles respectifs sont correctement assignés.
- Attribution de responsabilité – En ce qui concerne les indemnisations pour les incidents, la discussion porte souvent uniquement sur la répartition des risques. Cependant, les entreprises devraient adopter une approche plus nuancée, en se concentrant sur des aspects spécifiques tels que qui gérera la réponse à l’incident et qui supportera le fardeau financier qui y est associé. Les négociations concernant les indemnisations et les limitations de responsabilité devraient aller au-delà de simples marchandages de positions. Les fournisseurs qui s'engagent avec une stratégie sophistiquée et bien réfléchie devraient offrir des dispositions plus substantielles qu'un simple plafond de responsabilité étendu. Ces dispositions pourraient inclure des obligations de réponse détaillées, des définitions claires des dommages couverts, et un équilibre réfléchi des risques et des responsabilités qui s'alignent avec l'impact potentiel réel d'un incident.
L’horizon de la menace interne
(a) Perspectives de la menace interne
Les entreprises se concentrent souvent sur les menaces externes lorsqu'elles envisagent des incidents, mais de nombreux incidents impliquent des initiés, avec ou sans intention malveillante.
Les erreurs humaines ont été un facteur significatif dans l’occurrence d’incidents tout au long de 2024. Le Rapport IBM pointe l'erreur humaine comme cause première de 22 % des incidents,[20] tandis que le rapport 2024 sur les enquêtes de fuites de données de Verizon (le « Rapport Verizon »), publié plus tôt en 2024, place ce chiffre à 28 %.[21]
L'action la plus courante qui entraîne ces incidents est la « livraison erronée » - c'est-à-dire lorsque des données sont envoyées à un mauvais destinataire.[22] Des exemples courants incluent un employé envoyant par erreur les données d'un client au mauvais destinataire ou configurant mal les permissions d'accès pour un document basé sur le cloud. Ces incidents satisfont généralement aux définitions légales liées aux incidents car ils impliquent la divulgation non autorisée de renseignements personnels. Par conséquent, ils doivent être documentés dans le registre des incidents de l'entreprise lorsque la Loi sur la protection des renseignements personnels et les documents électroniques du Canada ou la Loi québécoise s'appliquent. De plus, ces incidents doivent être évalués pour déterminer s'ils atteignent le seuil de risque en relation avec les exigences de notification de l’incident en vertu de ces lois ainsi que de la Loi sur la protection des renseignements personnels de l'Alberta.[23]
Les incidents causés par une erreur d’un employé peuvent être attribués à la négligence, à des compétences insuffisantes ou à un mélange des deux. Bien que la faillibilité humaine signifie que les individus peuvent parfois faire preuve de négligence, les entreprises peuvent réduire proactivement ce risque en s'assurant que leur main-d'œuvre est correctement qualifiée et formée. Cependant, l'écart de compétences en cybersécurité reste un défi majeur selon le rapport Global Cybersecurity Outlook 2025 du Forum économique mondial (le « Rapport FEM »).[24]
L'écart de compétences en cybersécurité contribuera probablement à l’apparition d’incidents en 2025 à mesure que les entreprises adoptent des technologies complexes dont leurs employés ne sont pas suffisamment qualifiés ou formés pour les gérer en toute sécurité. La mise en œuvre d'outils sophistiqués alimentés par l'IA est au cœur de cette question. Les outils IA peuvent certainement offrir une valeur énorme et un avantage en matière d’innovation aux entreprises, renforçant même les capacités de détection et de réponse aux incidents. Cependant, il est également vrai que ces outils IA introduisent de nouveaux risques. Une préoccupation majeure est que les employés n’aient pas les connaissances ou l'expertise nécessaire pour gérer efficacement ces outils d’IA sophistiqués, ce qui peut potentiellement conduire à des vulnérabilités de sécurité et à un traitement non autorisé des renseignements personnels. Les outils d'IA peuvent également impliquer une surveillance des employés, y compris par l'analyse de grands volumes de métadonnées d'employés ou de correspondances pour détecter d'éventuels incidents, ce qui aurait auparavant nécessité un effort humain élevé. L'acte de protéger les renseignements personnels des employés contre les acteurs malveillants grâce à une augmentation de la surveillance des employés nécessite un effort de conformité controversé.
Les tribunaux ont de plus en plus élargi la doctrine de la responsabilité du fait d'autrui, tenant les entreprises responsables de la faute de leurs employés qui entraîne un incident. Dans l'affaire Ari c. Insurance Corporation of British Columbia,[25] la Cour suprême de la Colombie-Britannique a jugé l'Insurance Corporation of British Columbia (l’« ICBC ») responsable du fait d'autrui pour l'accès non autorisé d'un employé et la vente d'informations de clients, qui ont ensuite été utilisées par des tiers pour mener des attaques. La Cour a souligné que l'ICBC avait créé le risque en plaçant l'employée dans une position où elle pouvait accéder de manière inappropriée aux renseignements personnels et que sa faute était étroitement liée à son emploi. L'ICBC a soutenu que les actes criminels de tiers étaient des événements intermédiaires imprévisibles, mais la Cour a rejeté cet argument, estimant qu'une fois que l'employé avait divulgué les renseignements, l'ICBC avait perdu le contrôle sur la manière dont elles seraient utilisées, ce qui a rendu le préjudice subséquent suffisamment lié à l’incident. Cette affaire met en lumière l'exposition juridique accrue pour les employeurs lorsque des initiés abusent des renseignements personnels et renforce la nécessité de mettre en place de solides protections internes, des contrôles d'accès et une surveillance proactive pour prévenir et détecter les atteintes à la vie privée.
(b) Stratégies d’atténuation
(i) Culture de conformité
Il est d'une importance significative pour les entreprises de devancer le problème de l'écart de compétences afin de réduire le risque d’incidents internes. L'établissement d'une culture qui donne la priorité à la conformité en matière de vie privée et de sécurité devrait être au cœur de leur approche. Une telle culture devrait encourager tous les employés – et pas seulement le chef de la sécurité de l’information ou le responsable de la vie privée – à être vigilants en tout temps et à escalader et poser des questions chaque fois qu'ils ne sont pas sûrs d'un risque potentiel.
(ii) Politiques et procédures documentées
Renforcer une culture de conformité commence par la documentation des principes de confidentialité et de sécurité de l'entreprise et des contrôles correspondants. Il est essentiel que l'ensemble du personnel comprenne les principes fondamentaux décrits dans ces documents, car cette compréhension est clé pour inculquer les réflexes et comportements appropriés nécessaires pour maintenir les normes de sécurité de l'entreprise.
L’entretien de tels documents est en grande partie la manière dont les entreprises se conforment à leurs obligations de maintenir des protections des renseignements personnels en vertu des lois sur la vie privée. Cependant, il est crucial que ces politiques et procédures évoluent en fonction des risques. En regardant vers l'avenir, les entreprises devraient mettre en priorité la documentation de leurs stratégies concernant l’utilisation légale et éthique de l’IA. Bien qu’il n’y ait pas de règlement général de l’IA au Canada à l'heure actuelle, les entreprises doivent encore opérer dans les limites des cadres juridiques existants. Les commissaires à la protection de la vie privée canadiens ont clairement indiqué qu'ils utiliseraient la législation sur la vie privée pour surveiller l'utilisation de l'IA dans la mesure où les renseignements personnels sont impliqués. Ainsi, les politiques des entreprises devraient clairement délimiter les risques spécifiques associés à l’IA et établir un cadre de gouvernance robuste qui décrit comment les employés peuvent utiliser ces technologies de manière responsable.
(iii) Formation basée sur les rôles
La fermeture de l'écart de compétences nécessite également une formation. Une formation obligatoire sur la vie privée et la sécurité pour tous les employés est essentielle et doit être effectuée régulièrement. Une telle formation devrait s'appuyer sur les politiques et procédures de l'entreprise – en les rendant concrètes – et devrait prendre en compte les risques spécifiques à chaque rôle.
Conclusion
Les incidents de confidentialité deviennent de plus en plus courants et devraient rester une menace significative pour les entreprises canadiennes en 2025. Cette tendance est alimentée par une hausse anticipée des attaques par rançongiciel, des tactiques d’attaque par piratage psychologique sophistiquées, et des perturbations dans les chaînes d'approvisionnement, ainsi que par des menaces internes constantes, souvent résultant d'erreurs humaines. Alors que le développement rapide et l'adoption des technologies d'IA offrent de nombreux avantages – y compris pour renforcer les capacités de cybersécurité, elles introduisent également de nouveaux risques dans le contexte des incidents de confidentialité. La nature complexe des outils d'IA peut exacerber la probabilité d’incidents dus à des erreurs humaines, tout en fournissant simultanément aux cybercriminels des méthodes plus avancées pour exécuter leurs attaques. Il est important de traiter ces risques pour atténuer les conséquences potentiellement coûteuses d’un incident. Restez à l’affût du prochain article de notre série où nous examinerons le cadre juridique en évolution entourant les incidents.
Pour en savoir plus sur la manière dont notre groupe Cyber/Data peut vous aider à naviguer dans le paysage de la cybersécurité et des données, veuillez contacter les co-chefs nationaux Charles Morgan et Daniel Glover.
[1] Rapport IBM, p. 9.
[2] Le montant de 4,66 millions USD correspond à 6,64 millions CAD en utilisant le taux de conversion USD-CAD moyen sur les 12 derniers mois. Il convient de noter qu’IBM exclut les fuites « très petites et très grandes », ce qui signifie que les chiffres font uniquement référence aux fuites impliquant entre 2 100 et 113 000 dossiers. Cela exclut les « mégafuites », mais exclut également nécessairement les fuites à petite échelle. Bien que la majorité des pertes soient « réelles » (directement payées), environ 30 % de ce montant représente le coût de la perte d’affaires / des revenus, la perte de clients et les dommages à la réputation.
[3] ECN 25/26, p. 8.
[4] Rapport Google, p. 10.
[5] ECN 25/26, p. 20.
[6] Ibid.
[7] ECN 25/26, p. 32.
[8] ECN 25/26, p. 20.
[9] ECN 25/26, p. 22.
[10] ECN 25/26, p. 23.
[11] ECN 25/26, p. 24 et 28.
[12] ECN 25/26, p. 29.
[13] Ibid.
[14] ECN 25/26, p. 32.
[15] Ibid.
[16] ECN 25/26, p. 36.
[17] ECN 25/26, p. 23.
[18] Rapport Google, p. 12
[19] Ibid.
[20] Rapport IBM, p. 14.
[21] Rapport Verizon, p. 8.
[22] Rapport Verizon, p. 47.
[23] Outre les lois sur la protection de la vie privée dans le secteur privé fédéral et provincial mentionnées, des exigences de notification obligatoire de violation existent dans le cadre de divers autres cadres juridiques et réglementaires. Cela inclut les lois sur la confidentialité des informations de santé, les lois sur la protection de la vie privée dans le secteur public, ainsi que des réglementations spécifiques à certains secteurs d'activité, y compris celles appliquées par le Bureau du surintendant des institutions financières (BSIF).
[24] Rapport FEM, p. 36.
[25] 2022 CSCB 1475.