Comme mentionné dans un précédent article sur les cyberattaques, octobre est le mois de la sensibilisation à la cybersécurité. Il s’agit d’une campagne internationale qui se tient chaque année et qui a pour but de sensibiliser le public à la cybersécurité.
Selon une étude, des cyberattaques surviendront toutes les deux secondes d’ici 2031[1]. Les entreprises n’ont pas le choix et doivent s’intéresser à la cybersécurité. Celle-ci englobe un ensemble de technologies, processus et mesures visant à protéger les réseaux, ordinateurs, serveurs et données contre des attaques malveillantes ou des accès non autorisés[2]. En principe, elle s’articule autour de trois concepts clés : l’intégrité, la confidentialité et la disponibilité de l’information. Mais que signifient ces concepts?
Intégrité
Elle vise à protéger les renseignements personnels ainsi que ceux qui sont sensibles, de même que les données confidentielles. Son objectif est de les conserver dans leur état originel[3]. Autrement dit, ceux-ci ne doivent pas être perdus, détruits, bloqués, modifiés, voire altérés. L’intégrité est primordiale en matière de sécurité de l’information en ligne. Elle garantit la fiabilité de l’information. De plus, elle vise à mettre en place des mécanismes de contrôle pour empêcher toute altération des données. Des moyens tels que le chiffrement, la protection des équipements numériques et les audits récurrents favorisent la protection des données.
La Loi sur la protection des renseignements personnels dans le secteur privé[4] réfère au concept d’intégrité. Cette Loi oblige les entreprises à s’assurer que les renseignements personnels qu’elles détiennent sur autrui soient à jour et exacts[5]. Cette obligation s’inscrit dans le cadre de l’utilisation, la conservation et de la communication de ceux-ci. Par ailleurs, la perte, la modification, et l’altération d’un renseignement personnel d’une personne constituent un incident de confidentialité au sens de la Loi[6].
Il est clair que ces concepts d’intégrité et de confidentialité sont étroitement reliés et intéressent le législateur.
Confidentialité
À l’évidence, des renseignements personnels (ex. : prénom, nom de famille, date de naissance, numéro d’assurance sociale) ainsi que des données sensibles collectées (ex. : renseignements financiers, médicaux, biométriques) doivent rester secrets, voire confidentiels.
L’accès doit être protégé en tout temps et limité aux personnes autorisées au sein d’une entreprise[7].
En matière de protection des renseignements personnels, cette confidentialité est au cœur des préoccupations du législateur. La Loi oblige toute entreprise à aviser la Commission d’accès à l’information ainsi que des personnes concernées, si un incident de confidentialité présente un risque de préjudice sérieux[8]. Par exemple, des pirates informatiques subtilisent des renseignements personnels et sensibles (ex. : financiers), pour usurper l’identité de personnes afin de commettre une fraude envers elles.
Parmi les moyens reconnus pour garantir la confidentialité des données, notons la gestion des droits d’accès et la mise en place d’une politique de sécurité de l’information. Celle-ci prévoit la classification des données et la fréquence des sauvegardes informatiques au sein d’une entreprise. De plus, il est recommandé d’instaurer des campagnes périodiques de sensibilisation en lien avec la sécurité de l’information.
Disponibilité
Pour se prémunir contre des attaques malveillantes ou une perte accidentelle, un mécanisme de sauvegarde des données doit être mis en application[9]. L’information doit pouvoir être disponible et être la plus à jour. L’ensemble des actions pour garantir la disponibilité des données doivent être détaillées et mises à jour dans un plan de reprise d’activités. Ce plan doit être intégré aux activités récurrentes et reconduit chaque année dans le cadre des bonnes pratiques commerciales.
Lors d’une cyberattaque par rançongiciel, il peut être plus difficile pour un pirate informatique d’obtenir le paiement d’une rançon, lorsqu’une entreprise peut récupérer l’ensemble ou la majorité de ses données. De plus, en appliquant un mécanisme de sauvegarde efficace, les opérations d’une entreprise peuvent continuer ou dans certaines circonstances, l’interruption de celles-ci peut être de courte durée.
Une entreprise doit se demander à quelle fréquence les sauvegardes doivent être réalisées, et ce, en fonction de la nature des renseignements ou données détenus par elle[10]. Au besoin, elle peut consulter des spécialistes en matière de sécurité.
Conclusion
La cybersécurité repose sur des concepts importants : intégrité, confidentialité et disponibilité. Ceux-ci doivent être appréciés dans leur ensemble. Une cyberattaque qui réussirait à bloquer l’accès à des données confidentielles et à les détruire, nuirait à l’intégrité, la confidentialité et à la disponibilité de l’information.
Toute entreprise doit élaborer et appliquer une politique de sécurité et sensibiliser ses employés pour prévenir les risques de cyberattaques. Une erreur humaine peut déclencher une cyberattaque.
Enfin, la cybersécurité n’est pas l’affaire d’une personne, mais plutôt une responsabilité partagée. Il est important de la promouvoir et de s’impliquer.
Me Martin Villa est avocat à l’Association des professionnels de la construction et de l’habitation du Québec (APCHQ)
Jean-François Lavoie est directeur du Service des technologies de l’information à l’APCHQ
Pour en connaître davantage sur la protection des renseignements personnels, vous pouvez consulter les articles suivants :
Dois-je procéder à une évaluation des facteurs relatifs à la vie privée?
La protection des renseignements personnels : êtes-vous prêt à faire face à vos obligations?
Quels sont les types de renseignements prévus par la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels?
Serez-vous prêt à exercer la fonction de responsable de la protection des renseignements personnels?
Quels sont les critères à respecter avant de collecter un renseignement personnel?
Quelles sont vos obligations lorsqu’un incident de confidentialité présente un risque de préjudice sérieux?
Registre des incidents de confidentialité : quels renseignements doit-il contenir?
Dois-je adopter des politiques et des pratiques en matière de protection des renseignements personnels?
Loi 25 : obligation d’information en matière de renseignements personnels
Loi 25 : consentement et exceptions
Quelles sont les conditions pour communiquer un renseignement personnel sans le consentement de la personne concernée dans le cadre d’un mandat ou contrat?
Loi 25 : la politique de confidentialité
Loi 25 : sanctions administratives pécuniaires
Loi 25 : les sanctions pénales
Méfiez-vous des cyberattaques
[1] Ransomware will strike every 2 seconds by 2023.
[2] Définitions Cybersécurité; Voir la définition du centre canadien pour la cybersécurité. Aussi : Qu’est-ce que la cybersécurité
[3] La définition du mot « intégrité » proposée par le centre canadien pour la cybersécurité.
Intégrité, confidentialité, disponibilité: définitions.
[4] Chapitre P-39.1, (ci-après Loi).
[5] Nous référons à son article 11 (1).
[6] Art. 3.6 (4) de la Loi.
[7] Guide Pensez cybersécurité pour les petites et moyennes entreprises.
Les meilleures mesures pour renforcer la cybersécurité des petites et moyennes entreprises.
[8] Art. 3.5 (2) de la Loi.
[9] Toute entreprise doit prendre des mesures de sécurité pour assurer la protection des renseignements personnels d’une personne en vertu de l’article 10 de la Loi; Guide sur la catégorisation de la sécurité des services fondés sur l’infonuagique.