
Publication
Infolettre trimestrielle en droit de l’emploi et du travail au Canada
La présente infolettre informera les employeurs des faits nouveaux et des pratiques exemplaires dans le domaine du droit de l’emploi et du travail au Canada.
Mondial | Publication | février 2023
Dans le secteur de l’énergie, la cybersécurité est une préoccupation de premier ordre depuis quelque temps, notamment en raison de certaines cyberattaques largement médiatisées ces dernières années qui ont non seulement fait les manchettes, mais aussi causé des perturbations opérationnelles, des pertes financières et des risques de poursuites. Tout le problème vient du fait que la stratégie utilisée pour mener des attaques ne cesse d’évoluer, ce qui impose aux organisations une vigilance constante et leur demande d’avoir toujours, autant que faire se peut, une longueur d’avance sur les cybercriminels. Pour compliquer encore davantage la situation, le secteur de l’énergie est considéré par les pouvoirs gouvernementaux comme une « infrastructure essentielle », ce qui en fait la cible parfaite pour les organisations cybercriminelles, mais également pour les agents sophistiqués parrainés par un État quelconque.
Néanmoins, une chose est claire : les organisations qui se préparent à d’éventuelles cyberattaques et y consacrent les fonds nécessaires limitent sensiblement les conséquences néfastes d’un incident important en matière de cybersécurité. La question n’est pas de savoir si une organisation sera la cible d’une cyberattaque, mais quand elle en fera les frais; tout le monde s’accorde sur ce point. De notre côté, nous pensons qu’il convient de recentrer la réflexion sur les moyens à mettre en œuvre pour y répondre.
On ne saurait trop insister sur le rôle crucial que joue le secteur de l’énergie dans la société. Au Canada, il fait partie des « infrastructures essentielles » (tout comme aux États-Unis) : sa compromission (partielle ou totale) provoquerait une réaction en chaîne aux multiples effets néfastes dans d’autres secteurs de l’économie et la société dans son ensemble. Quant au secteur de l’énergie, une cyberattaque pourrait se traduire par une perturbation opérationnelle immédiate qui ébranlerait ses acteurs en amont comme en aval.
Pour répondre de manière efficace à une cyberattaque, les organisations devraient se doter d’une stratégie en matière de cybersécurité principalement axée sur le renforcement de leur cyberrésilience. Le terme « résilience » est souvent utilisé pour décrire la capacité d’une organisation à se remettre rapidement d’un événement perturbateur important. Dans le contexte de la cybersécurité, elle est évaluée d’après deux principaux paramètres : d’une part, la capacité à écourter au maximum la « période d’indisponibilité » et, d’autre part, la faculté de limiter les répercussions de l’incident (c.-à-d. de faire en sorte que les cybercriminels ne soient pas en mesure d’aller trop loin et de causer des dommages qui rendraient difficile ou impossible une reprise rapide du service).
Bien que le concept de résilience semble aller de soi, il repose sur une préparation et des tests réguliers. Les études ont montré une corrélation directe entre le niveau de préparation et la gravité des conséquences découlant d’un important incident de cybersécurité. En règle générale, les organisations qui se préparent à une telle éventualité, procèdent à des tests et y consacrent des fonds, le tout sur une base régulière, se remettront plus rapidement et subiront moins d’effets néfastes. Il n’est donc pas étonnant que la nouvelle proposition de loi déposée par le gouvernement fédéral vise à favoriser au maximum la cyberrésilience des organisations du secteur de l’énergie.
L’été dernier, le gouvernement fédéral canadien a déposé le projet de loi C-26 (projet de loi) portant sur les cybermenaces qui pèsent sur les infrastructures essentielles. Il prévoit entre autres d’édicter la Loi sur la protection des cybersystèmes essentiels qui vise à assurer une protection contre les cybermenaces envers les infrastructures essentielles canadiennes. Le projet de loi fait référence aux « cybersystèmes essentiels », qui comprennent les services ou systèmes désignés, soit les systèmes de pipelines et de lignes électriques interprovinciaux ou internationaux ou les systèmes d’énergie nucléaire.
S’il est adopté, le projet de loi s’appliquera à une catégorie d’exploitants dont le travail relève de la compétence fédérale et à l’organisme réglementaire correspondant. Tous les exploitants visés par cette définition doivent mettre sur pied un programme de cybersécurité qui répond aux quatre objectifs énoncés précédemment ainsi qu’en aviser l’organisme réglementaire et le lui fournir.
Quels sont les aspects importants du projet de loi auxquels les organisations devraient prêter attention? Voici les trois principaux :
De manière générale, le projet de loi reprend les exigences présentées par la Cybersecurity and Infrastructure Security Agency (CISA) aux États-Unis, ce qui n’a rien d’étonnant, compte tenu du niveau d’intégration entre les économies canadiennes et américaines, notamment dans le secteur de l’énergie.
Ainsi, bien que le projet de loi soit à l’étude devant le Parlement et n’ait pas encore été adopté, il le sera probablement en 2023. Son entrée en vigueur reste toutefois à déterminer.
Bien que le projet de loi n’ait pas encore été adopté, les organisations devraient commencer par examiner et réviser leur stratégie en matière de cybersécurité, puis déterminer si leurs plans sont suffisants. Les exigences américaines énoncées par la CISA donnent une bonne idée des obligations que mettront probablement en place les autorités canadiennes pour les organisations du secteur de l’énergie.
Publication
La présente infolettre informera les employeurs des faits nouveaux et des pratiques exemplaires dans le domaine du droit de l’emploi et du travail au Canada.
Publication
Les Autorités canadiennes en valeurs mobilières (ACVM) ont suspendu leurs travaux visant l’élaboration de nouvelles règles sur la communication obligatoire d’information liée au changement climatique et les modifications des obligations d’information sur la diversité existantes.
Abonnez-vous et restez à l’affût des nouvelles juridiques, informations et événements les plus récents...
© Norton Rose Fulbright LLP 2025