Protection des données à l’ère de l’IA : stratégies de gestion des incidents de confidentialité pour les organisations        

Le lancement récent du projet Glasswing, le 7 avril 2026, marque un tournant majeur dans le paysage de la cybersécurité, l’IA contribuant à rendre les cybermenaces à la fois plus rapides et plus complexes.

Plus particulièrement, le projet Glasswing a été lancé pour offrir à un groupe ciblé d’organisations un accès anticipé à l’outils Mythos d’Anthropic, afin d’aider à sécuriser des logiciels essentiels avant que leurs vulnérabilités ne puissent être exploitées.

Le lancement de ce projet fait suite à la découverte des formidables capacités de Mythos à pirater des systèmes existants et à détecter des vulnérabilités logicielles jusque-là inconnues. Au lieu de rendre Mythos accessible au grand public, Anthropic a limité son accès à des organisations soigneusement sélectionnées afin de réduire le risque d’utilisation abusive par des acteurs malveillants.

Le présent article traite des répercussions que le développement de Mythos et d’outils semblables pourrait avoir sur les organisations canadiennes, ainsi que des mesures que ces dernières pourraient prendre pour se préparer à faire face à ces nouveaux risques de cybersécurité découlant de l’IA.

Protection des données et lois sur la cybersécurité au Canada

Les organisations canadiennes sont assujetties à une multitude de lois sur la protection des données, la confidentialité et la cybersécurité, selon leurs activités, leur emplacement et leur secteur. Il s’agit généralement des lois suivantes :

• la Loi sur la protection des renseignements personnels et les documents électroniques (« LPRPDE »);
• les lois provinciales applicables en matière de protection de la vie privée dans le secteur privé; et
• les lois extraterritoriales comme le RGPD, ou les règlements sectoriels, dont le préavis du BSIF intitulé Signalement des incidents liés à la technologie et à la cybersécurité applicable aux institutions financières sous règlementation fédérale et à certains régimes de retraite.

En plus de devoir se conformer à la règlementation, les organisations doivent être en mesure de protéger leurs activités et services pour les clients et autres parties prenantes. Les problèmes de cybersécurité font peser des risques non seulement sur les données, mais aussi sur la poursuite des activités et les opérations commerciales. Les incidents de confidentialité et les cyberincidents peuvent causer des préjudices sur les plans réputationnel, émotionnel, financier, voire physique, aux personnes concernées.

Bien que ces risques existent depuis de nombreuses années, leur nature a changé, car les acteurs malveillants peuvent désormais utiliser l’IA pour accélérer, amplifier et mener des attaques d’une manière qui était auparavant impossible.

À l’instar des entreprises qui ont de plus en plus souvent recours à l’IA pour créer et analyser du contenu, les criminels utilisent cette même technologie pour générer du code malveillant, automatiser des attaques, mettre au point des stratagèmes d’hameçonnage et de harponnage plus convaincants et, au moyen d’outils tels que Mythos, découvrir et exploiter des vulnérabilités logicielles existantes y compris des failles auparavant inconnues. Ce qui est préoccupant, c’est que ces vulnérabilités peuvent être décelées et exploitées avant que les correctifs ou mises à jour puissent être déployés.

À quoi les organisations devraient-elles prêter attention face aux menaces de cybersécurité découlant de l’IA?

D’un point de vue juridique, les organisations sont tenues de prendre des mesures de protection techniques, administratives et matérielles raisonnables pour protéger les renseignements personnels.

D’un point de vue opérationnel et financier, elles doivent protéger leur entreprise et leurs précieuses données, c’est-à-dire leurs renseignements confidentiels, leur propriété intellectuelle et les données sur leurs clients. Ces obligations sous-jacentes n’ont pas changé. Ce qui change, ce sont les moyens à mettre en œuvre pour les remplir efficacement.

La liste non exhaustive ci-dessous présente les principaux éléments que doivent prendre en considération les organisations qui souhaitent protéger leurs activités et leurs données dans un environnement exposé à des menaces liées à l’IA :

• Connaissance. Restez conscients des nouvelles menaces liées à l’IA et évaluez les répercussions qu’elles peuvent avoir sur la posture en matière de sécurité de votre organisation.
• Correctif. Il pourrait s’avérer nécessaire de revoir les procédures d’application de correctifs logiciels compte tenu de la rapidité avec laquelle les vulnérabilités peuvent désormais être découvertes et exploitées. Il faudrait peut-être privilégier l’application continue ou régulière de correctifs plutôt que les approches cycliques traditionnelles.
• Formation. L’IA permet de mener des attaques d’ingénierie sociale, d’hameçonnage et de harponnage plus sophistiquées. La formation ne devrait pas être un simple exercice consistant à cocher des cases; elle devrait permettre de sensibiliser véritablement le personnel à ces menaces et de renforcer sa capacité à détecter les problèmes et à les signaler aux échelons supérieurs.
• Détection. Les organisations doivent partir du principe qu’une intrusion dans leurs systèmes est possible, même si elles ont mis en place de rigoureuses mesures préventives. Il est de plus en plus essentiel de mettre en place des outils de détection efficaces et de les surveiller activement.
• Intervention en cas d’incident. Il est plus important que jamais de cultiver des réflexes organisationnels solides pour intervenir en cas d’incident. Cet aspect implique de définir clairement les rôles et les responsabilités, de bien connaître les conseillers externes et de posséder une assurance adéquate. Les exercices de simulation demeurent un outil efficace pour accroître ces capacités.
• Protection et séparation des données. Les organisations doivent savoir où se trouvent leurs données les plus sensibles, limiter la collecte et la conservation de ces données au strict nécessaire, séparer les ensembles de données critiques et mettre en place des contrôles d’accès rigoureux afin de réduire l’impact d’un éventuel incident de confidentialité.
• Fournisseur de services. Les attaques faisant appel à l’IA ciblent de plus en plus souvent les vulnérabilités des fournisseurs de services et autres tiers. Les organisations devraient évaluer les mesures de protection des tiers et s’assurer que leurs contrats comportent des dispositions claires sur les contrôles de cybersécurité, les obligations de signalement en cas d’incident et les attentes en matière d’intervention face à ces nouveaux risques.
• Utilisation de l’IA. Les organisations doivent connaître la manière dont les outils d’IA sont utilisés en interne. La mise en place d’une gouvernance, de politiques et de mesures de contrôle claires est essentielle pour éviter un accès non autorisé aux données et l’apparition de nouveaux risques en matière de cybersécurité ou d’atteinte à la vie privée.

Si vous avez des questions ou souhaitez discuter plus longuement des stratégies de protection des données et de cybersécurité, n’hésitez pas à communiquer avec nos avocats canadiens du groupe Protection de la vie privée et cybersécurité.