Il n’est plus rare de voir passer dans les médias le nom de grandes entreprises aux prises avec des incidents de confidentialité. Avec le partage électronique grandissant des renseignements personnels sur différentes plateformes informatiques, les menaces de cybersécurité seront de plus en plus fréquentes. Leurs conséquences seront de plus en plus lourdes. Les incidents de confidentialité ne sont plus des évènements isolés. Il est important d’être prêt pour y faire face et ainsi limiter leurs risques et leur impact.
Ces incidents se produisent lorsqu’il y a atteinte à la protection d’un renseignement personnel. Que ce soit par l’accès, l’utilisation ou la communication non autorisés. Cela comprend aussi la perte des données confidentielles permettant d’identifier une personne physique. L’intrusion de pirates informatiques dans une banque de données contenant des renseignements personnels est l’un des incidents les plus sérieux. C’est ce qu’on appelle une fuite de données. Le but de cette opération étant d’utiliser ces renseignements ou de les vendre sur le Dark web pour usurper l’identité de ces personnes.
Bien que les cyberattaques soient souvent associées aux grandes entreprises, les petites et moyennes entreprises doivent aussi être à l’affut de ces menaces. En effet, ces entreprises sont ciblées par 43 % des cyberattaques. Ainsi, il est important que chaque organisation détenant des informations sensibles soit bien préparée. Certaines initiatives peuvent déjà être prises à l’interne de manière préventive.
Il est important d’éduquer vos employés ainsi que votre clientèle sur le sujet de la cybersécurité. Ils doivent être informés sur les précautions à prendre pour éviter ce genre d’incidents. Bref, il faut les outiller pour protéger leurs données contre l’accès non autorisé ou le vol.
Les incidents de confidentialité mettent à risque la vie privée de vos clients, de vos employés et/ou de vos partenaires d’affaires. Cela vient nuire indirectement votre entreprise. En effet, ces incidents viennent impacter financièrement votre organisation et ils risquent d’impacter votre pérennité.
L’une des menaces de cybersécurité les plus inquiétantes actuellement est le Ransomware. Avec cette stratégie, les pirates informatiques ont accès aux fichiers informatiques de l’entreprise et ils peuvent bloquer l’accès aux données jusqu’à ce qu’une rançon soit payée. La part annuelle des attaques de ransomwares subies par les organisations du monde entier est en hausse depuis 2018, atteignant un sommet de 68,5% en 2021 (Statista). Cette menace est en grande partie le résultat d’attaque par hameçonnage.
Parmi les pratiques de gestion reconnues en termes de cybersécurité, il y a :
Il est important de s’encadrer de ressources suffisantes en matière de cybersécurité et d’avoir des partenaires d’affaires de confiance. Particulièrement pour l’hébergement de données. Chez Dialog Insight, la sécurité des données est une priorité. De ce fait, nous mettons en place les meilleures pratiques de l’industrie. D’ailleurs, nous sommes conformes aux exigences de législations au Québec, au Canada et en Europe (RGPD). De plus, nous détenons les certifications ISO 27001 et SOC2.
Dans le cas où le pire se produit et que votre entreprise est victime d’une cyberattaque, certaines actions sont requises par les différents paliers gouvernementaux.
Au Québec, le projet de loi 25 vise à améliorer la protection des renseignements personnels par les organismes publics et les entreprises privés. Elle encadre les différentes obligations qui doivent être respectées en matière de gestion de données confidentielles. Son objectif étant de mieux contrôler les incidents de confidentialité et limiter leur impact.
La loi 25 prévoit qu’une personne qui exploite une entreprise doit prendre les mesures raisonnables pour diminuer les risques qu’un préjudice soit causé et éviter que de nouveaux incidents, de même nature, ne se produisent. Le tout lorsqu’il y a motif de croire qu’il s’est produit un incident de confidentialité impliquant un renseignement personnel qu’elle détient.
Voici les étapes à suivre lors d’un vol de renseignements personnels ;
Lorsqu’un incident de confidentialité présente un risque qu’un préjudice sérieux soit causé, la loi 25 oblige les entreprises de prendre les actions suivantes, et ce, à partir du 22 septembre 2022:
Pour un savoir plus sur la loi 25 et les différentes obligations qui en découle, consulter notre dernier article Préparer la mise en application du Projet de loi 64 – Dialog Insight
Ces articles ne représentent pas un avis légal. Vous devez consulter vos conseillers juridiques pour obtenir un avis à l’égard de la LPRPQ ou de son implication.
