La gestion des risques est essentielle à la protection, à l’accroissement et à la création de valeur pour les actionnaires, à une exploitation efficiente et à la creation d’un environnement sain et sécuritaire pour le personnel, les clients et les autres intéressés.
Notre méthode de détermination et d’évaluation des risqué est fondée sur le document intitulé Un cadre de surveillance des risques à l’intention des conseils d’administration, publié par l’Institut canadien des comptables agréés. L’évaluation des risques porte sur les tendances internes et externes ayant une incidence sur nos activités. Notre approche vise quatre grandes catégories de risques : les risques stratégiques, les risques liés à l’exploitation, les risques liés à la communication de l’information et les risques externes. Lors de nos évaluations, nous croyons que nous devons faire preuve de prudence lorsque nous envisageons la probabilité et la gravité des conséquences pouvant découler de risqué environnementaux et sociaux.
Notre Plan de gestion du maintien des activités nous permet de prévenir les incidents, de nous en relever le cas échéant et de reprendre nos activités rapidement tout en veillant à la santé et à la sécurité de notre personnel, des collectivités et du public.
Sécurité de l’information et cybersécurité
Le CN est tributaire de la technologie pour mener ses activités d’administration et d’exploitation. Les données recueillies comprennent des données personnelles sur les membres du personnel afin de répondre aux exigences réglementaires et de gérer la main-d’œuvre. Les systèmes critiques sont notamment ceux utilisés pour se conformer à la réglementation sur la sécurité, tels que la commande intégrale des trains. Nous sommes exposés à des perturbations technologiques et à la divulgation de renseignements sensibles en raison d’erreurs humaines, de failles dans les logiciels, de catastrophes naturelles et d’attaques actives contre notre technologie. Les attaques peuvent être le fait de cybercriminels, d’acteurs étatiques et de militants qui cherchent à obtenir un gain financier, un avantage économique ou politique, ou qui visent simplement à nuire à nos activités. Les perturbations ou les divulgations non autorisées peuvent entraîner des pertes financières directes ou indirectes découlant notamment d’amendes, d’une perte de revenus, d’un changement de destinataires des paiements ou de dommages matériels.
Nous comprenons les risques significatifs que cela pose pour l’exploitation ainsi que l’importance de protéger les renseignements personnels. Par conséquent, nous avons mis en place un vaste cadre de gouvernance de la cybersécurité.
Gouvernance
Au CN, le Conseil d’administration assure la surveillance des risques liés à la technologie de l’information et à la cybersécurité par le moyen d’aperçus stratégiques des risques et des enjeux importants ainsi que par des mises à jour présentées par le président-directeur général et les cadres supérieurs. Le Comité d’audit, conformément à son mandat, chapeaute le programme de cybersécurité de la Compagnie pour les groupes Exploitation et Technologie de l’information. La cybersécurité est un sujet qui est régulièrement abordé pendant les réunions du Comité d’audit. Notre Conseil reçoit des rapports sur la cybersécurité une fois par année au moins.
Notre programme de cybersécurité relève d’un chef de la sécurité de l’information chevronné qui s’appuie sur un personnel dévoué et professionnel dont les membres se conforment au cadre de cybersécurité du National Institute of Standards and Technology (NIST).
Atténuation des risques
Lignes de conduite et méthodes. Le CN a établi des lignes de conduite en matière de cybersécurité qui sont accessibles au personnel et appuyées par un programme officiel de sensibilisation et de formation en matière de cybersécurité. L’entreprise mène aussi des campagnes de sensibilisation auprès des membres du personnel et leur envoie des communications proactives sur ce sujet.
Partage de renseignements et collaboration. Le CN participe au comité de sécurité de l’information ferroviaire (RISC) de l’Association of American Railroads (AAR), qui s’intéresse aux renseignements sur les menaces propres au secteur, aux analyses comparatives et au partage des pratiques exemplaires en matière de lutte contre les cybermenaces.
Audits externes et analyse de vulnérabilité. Le CN fait appel à des tiers indépendants pour procéder à des tests d’intrusion et à des évaluations du programme de cybersécurité au moins une fois par année, et il a défini des processus de surveillance et d’intervention en cas d’incident.
Intervention en cas d’incident. Le CN a mis en place un processus solide de gestion de crises liées à la cybersécurité, qui fournit un cadre documenté pour prendre en charge les incidents de gravité élevée et qui facilite la coordination entre les différents secteurs de l’entreprise. La procédure d’intervention en cas d’incident est revue deux fois par année.
Atteinte à la sécurité de l’information et à la cybersécurité. Le CN n’a trouvé aucun indice qui permet de supposer que des incidents portant atteinte à des données importantes et à la cybersécurité se sont produits, mais reconnaît que des pirates déterminés, des failles dans les logiciels ou le matériel, ou des erreurs commises par des membres du personnel ou des entrepreneurs peuvent toujours passer à travers les mailles des contrôles et se répercuter sur l’entreprise, et ce, malgré un programme de cybersécurité solide et efficace.