1. Le télétravail

Depuis plus d’un an, les employés de Savon Bubulle inc. travaillent à distance. Utilisent-ils leurs portables personnels ? Leurs enfants y installent-ils des jeux ou des logiciels ?  L’infonuagique et leurs appareils mobiles sont-ils bien sécurisés ?

Vous l’aurez deviné, le contrat de travail et l’entente de confidentialité ne suffisent plus pour avoir un dossier d’employé complet. Avec la nouvelle réalité du télétravail, il faut aussi établir des politiques qui guideront le personnel, notamment pour protéger le matériel et les outils de l’entreprise et pour empêcher l’installation de logiciels non sécuritaires par les usagers. Il est également recommandé de réaliser des tests d’intrusion et des audits et de mettre à jour régulièrement les mesures de sécurité informatique.

2. La cybersécurité

La gestion des fuites de données n’est pas que l’affaire des grandes entreprises! Les plus petites, comme Savon Bubulle inc., sont soumises aux mêmes obligations! Selon Statistiques Canada, chaque année, plus de 20 % des PME canadiennes sont victimes d’une cyberattaque grave. Celles-ci augmentent annuellement de manière fulgurante, surtout depuis le début de la pandémie.

Par où commencer ? En premier lieu, je pense qu’il est primordial que votre conseil d’administration (CA), votre équipe de direction ainsi que votre personnel soient formés et conscients des enjeux liés à la cybersécurité. Dans un deuxième temps, mettez en place un plan pour vous prémunir contre une cyberattaque et de révisez votre police d’assurance afin de vous protéger en cas de pertes de revenus et dommages liés à une cyberattaque. En matière de prévention, pensez enfin à un plan d’action après la cyberattaque pour gérer les conséquences de ces interruptions coûteuses.

Parallèlement, vous avez probablement procédé ou êtes dans le processus de revoir votre parc informatique, soit l’ensemble du matériel informatique et des logiciels de votre entreprise. J’observe souvent les PME régler leurs problèmes de sécurité de manière ciblée et ponctuelle, sans jamais prendre le recul nécessaire pour avoir une vue d’ensemble. Or, il est risqué de faire du rapiéçage puisque cumuler des solutions de protection sans jamais faire de diagnostic global peut s’avérer dispendieux et inefficace.

3. Les renseignements personnels

Les entreprises ont l’obligation de prendre les mesures raisonnables pour protéger les renseignements personnels qu’elles détiennent. Le niveau de protection et de sécurité requis peut varier selon le degré de sensibilité des renseignements ou des données. Vous pouvez facilement imaginer le préjudice grave qui peut découler d’une fuite de données financières ou médicales… Les renseignements personnels comprennent non seulement ceux de vos clients et de vos employés, mais également de vos sous-traitants et de vos fournisseurs.

En mettant en place une plateforme transactionnelle, Savon Bubulle inc. doit minimalement instaurer une politique de confidentialité et des termes et conditions. Elle doit aussi obtenir  le consentement de ses utilisateurs avant de procéder à la collecte des données et leur divulguer à quoi elles serviront.

4. La propriété intellectuelle

Savon Bubulle inc. a fait appel à un développeur pour mettre en place une solution technologique pour propulser son virage techno. Fantastique, mais à qui appartient la propriété intellectuelle ? Qui est propriétaire des améliorations apportées à cette solution technologique ? Je vous recommande fortement de prévoir des clauses précises sur la propriété intellectuelle dans votre contrat avec votre développeur afin d’éviter les mauvaises surprises (et les litiges!) ensuite.  Par exemple, ce serait avisé de négocier son droit de réutiliser des éléments de votre solution pour ses autres clients.

5. La gouvernance technologique

Les administrateurs de Savon Bubulle Inc. ont le devoir d’agir avec prudence et diligence, avec loyauté et honnêteté, et ce, toujours dans l’intérêt de l’entreprise.  Dans une ère où la technologie gouverne une partie importante des entreprises et face aux menaces croissantes de cyberattaques, il est essentiel que les CA soient formés afin d’avoir la capacité de comprendre ces enjeux de taille. En d’autres mots, je crois qu’un CA qui n’est pas à l’affût ou conscient de ces risques technologiques ne peut pas remplir ni son rôle et ni ses devoirs. Croyez-moi qu’aucun administrateur ne voudrait voir  son organisation à la une d’un journal en raison d’un recours collectif ou d’une fuite de données!