Il n’est plus rare de voir passer dans les médias le nom de grandes entreprises aux prises avec des incidents de confidentialité. Avec le partage électronique grandissant des renseignements personnels sur différentes plateformes informatiques, les menaces de cybersécurité seront de plus en plus fréquentes. Leurs conséquences seront de plus en plus lourdes. Les incidents de confidentialité ne sont plus des évènements isolés. Il est important d’être prêt pour y faire face et ainsi limiter leurs risques et leur impact.
Les incidents de confidentialité
Ces incidents se produisent lorsqu’il y a atteinte à la protection d’un renseignement personnel. Que ce soit par l’accès, l’utilisation ou la communication non autorisés. Cela comprend aussi la perte des données confidentielles permettant d’identifier une personne physique. L’intrusion de pirates informatiques dans une banque de données contenant des renseignements personnels est l’un des incidents les plus sérieux. C’est ce qu’on appelle une fuite de données. Le but de cette opération étant d’utiliser ces renseignements ou de les vendre sur le Dark web pour usurper l’identité de ces personnes.
Le calme avant la tempête : Bien se préparer
Bien que les cyberattaques soient souvent associées aux grandes entreprises, les petites et moyennes entreprises doivent aussi être à l’affut de ces menaces. En effet, ces entreprises sont ciblées par 43 % des cyberattaques. Ainsi, il est important que chaque organisation détenant des informations sensibles soit bien préparée. Certaines initiatives peuvent déjà être prises à l’interne de manière préventive.
1. Sensibiliser les parties prenantes
Il est important d’éduquer vos employés ainsi que votre clientèle sur le sujet de la cybersécurité. Ils doivent être informés sur les précautions à prendre pour éviter ce genre d’incidents. Bref, il faut les outiller pour protéger leurs données contre l’accès non autorisé ou le vol.
Les incidents de confidentialité mettent à risque la vie privée de vos clients, de vos employés et/ou de vos partenaires d’affaires. Cela vient nuire indirectement votre entreprise. En effet, ces incidents viennent impacter financièrement votre organisation et ils risquent d’impacter votre pérennité.
L’une des menaces de cybersécurité les plus inquiétantes actuellement est le Ransomware. Avec cette stratégie, les pirates informatiques ont accès aux fichiers informatiques de l’entreprise et ils peuvent bloquer l’accès aux données jusqu’à ce qu’une rançon soit payée. La part annuelle des attaques de ransomwares subies par les organisations du monde entier est en hausse depuis 2018, atteignant un sommet de 68,5% en 2021 (Statista). Cette menace est en grande partie le résultat d’attaque par hameçonnage.
2. Mettre en place les bonnes pratiques de gestion en matière de cybersécurité
Parmi les pratiques de gestion reconnues en termes de cybersécurité, il y a :
- Procéder à l’installation de logiciel antivirus et antimaliciel
- Activer le chiffrement de données
- Pratiquer des audits de sécurité
- Se conformer aux législations en vigueur
- Souscrire à une assurance contre les fuites de données
- Mettre sur pied une politique de cybersécurité (gestion des mots de passe, gestion des accès, etc.)
3. S’entourer de partenaires d’affaires de confiance
Il est important de s’encadrer de ressources suffisantes en matière de cybersécurité et d’avoir des partenaires d’affaires de confiance. Particulièrement pour l’hébergement de données. Chez Dialog Insight, la sécurité des données est une priorité. De ce fait, nous mettons en place les meilleures pratiques de l’industrie. D’ailleurs, nous sommes conformes aux exigences de législations au Québec (Loi 25), au Canada (Loi C-28) et en Europe (RGPD). De plus, nous détenons les certifications ISO 27001 et SOC2.
Victime d’une cyberattaque : Quoi faire ?
Dans le cas où le pire se produit et que votre entreprise est victime d’une cyberattaque, certaines actions sont requises par les différents paliers gouvernementaux.
Au Québec, le projet de loi 64 (Loi 25) vise à améliorer la protection des renseignements personnels par les organismes publics et les entreprises privés. Elle encadre les différentes obligations qui doivent être respectées en matière de gestion de données confidentielles. Son objectif étant de mieux contrôler les incidents de confidentialité et limiter leur impact.
La Loi 25 prévoit qu’une personne qui exploite une entreprise doit prendre les mesures raisonnables pour diminuer les risques qu’un préjudice soit causé et éviter que de nouveaux incidents, de même nature, ne se produisent. Le tout lorsqu’il y a motif de croire qu’il s’est produit un incident de confidentialité impliquant un renseignement personnel qu’elle détient.
Voici les étapes à suivre lors d’un vol de renseignements personnels ;
- Évaluation préliminaire de la situation: Définir le contexte, désigner une personne responsable de la gestion de la situation, informer les intervenants internes concernés
- Limiter l’atteinte à la vie privée: Récupérer les données, modifier les codes d’accès, contrôler les lacunes
- Évaluer les risques: considérer la sensibilité des renseignements personnels en cause, déterminer les préjudices potentiels, déterminer les actions à prendre en priorité
- Aviser les personnes concernées: déterminer qui doit être avisé et comment
- Évaluation approfondie de la situation et prévention: analyser les circonstances de l’évènement, formuler des recommandations sur les directives internes à mettre en place
- Suivi
Nouvelles obligations reliées à la Loi 25
Lorsqu’un incident de confidentialité présente un risque qu’un préjudice sérieux soit causé, la Loi 25 oblige les entreprises de prendre les actions suivantes, et ce, à partir du 22 septembre 2022:
- Aviser la Commission d’accès à l’information via le Formulaire de déclaration d’un incident de sécurité
- Aviser toute personne dont un renseignement personnel est concerné par l’incident
- Aviser toute personne ou tout organisme susceptible de diminuer ce risque
- Consulter le responsable de la protection des renseignements personnels pour faire l’évaluation du risque du préjudice
- Tenir un registre des incidents de confidentialité, à communiquer à la Commission sur demande
Pour un savoir plus sur la Loi 25 et les différentes obligations qui en découle, consulter notre dernier article Préparer la mise en application du Projet de loi 64 (Loi 25)
Ces articles ne représentent pas un avis légal. Vous devez consulter vos conseillers juridiques pour obtenir un avis à l’égard de la Loi 25 ou de son implication.