Une nouvelle ère débute pour la gestion des risques
La cybersécurité et la Loi sur la protection des renseignements personnels numériques
Par : Mark Walsh
Il existe deux types d’entreprises : « celles qui ont été piratées et celles qui le seront »[1].
Ces propos, lorsqu’on tient compte des divers cas d’atteinte à la sécurité des données qui ont été médiatisés récemment, représentent le début d’une nouvelle ère en matière de protection des données; un volet qui est sur le point d’amorcer un virage fondamental au Canada au cours des prochains mois.
Les cyberattaques ne visent pas une industrie ni un secteur en particulier. Comme nous avons pu le constater avec quelques-unes des récentes victimes, soit l’Agence du revenu du Canada, le Casino Rama, les Services financiers PC et Yahoo[2], les violations de données peuvent entraîner de lourdes conséquences sur le plan des finances et de la réputation pour une entreprise ou une organisation.
La perte potentielle de réputation et de confiance des consommateurs ainsi que les ramifications juridiques inévitables résultant d’une violation de données peuvent faire en sorte que certains dirigeants envisagent de retenir des détails liés à un tel événement. Conformément aux modifications qui seront apportées à loi canadienne en matière de protection de la vie privée, les entreprises devront faire preuve de plus de transparence à propos des cyberattaques et des mesures mises en place pour protéger les renseignements personnels des Canadiens.
Loi sur la protection des renseignements personnels numériques du Canada
L’adoption de la Loi sur la protection des renseignements personnels numériques est à l’origine d’un nombre important de modifications apportées à la loi fédérale qui assure la protection de la vie privée dans le secteur privé au Canada, la Loi sur la protection des renseignements personnels et les documents électroniques. Grâce à ces modifications, le Canada est maintenant plus conforme aux autres régimes de protection de données à l’échelle mondiale.
Ces modifications ainsi que les mesures de cybersécurité mises en place par le gouvernement fédéral ont pour but de protéger les consommateurs, de renforcer la position des organisations canadiennes en matière de sécurité et de permettre au Canada de s’attaquer efficacement aux problèmes liés à la protection de la vie privée du 21e siècle.[3] Pour être conformes à la loi, les organisations canadiennes qui utilisent, traitent ou enregistrent des renseignements personnels doivent étudier leurs stratégies, leurs feuilles de route, leurs politiques et leurs procédures en matière de cybersécurité afin de s’assurer qu’elles ont mis en place les sauvegardes appropriées.
En vertu de la loi, les entreprises et les organisations seront tenues de :
- déclarer toute atteinte à la sécurité des données au commissaire à la protection de la vie privée si ladite atteinte présente un risque réel de préjudice grave[4];
- aviser les personnes (et les autres organisations dans certaines situations) en cas de perte, de vol ou de fraude de leurs renseignements personnels;
- envoyer dès que possible des avis, dont le contenu est facile à comprendre, qui permettent aux destinataires de prendre les mesures nécessaires afin de réduire les risques au minimum;
- tenir à jour un registre de toutes les atteintes à la sécurité des données et être capable de fournir ledit registre au commissaire à la protection de la vie privée sur demande.
Ces nouvelles exigences auront des répercussions importantes sur votre entreprise et nécessitent votre attention immédiate.
Qu’est-ce que cela signifie pour votre entreprise?
En raison des amendes pour non-conformité qui peuvent s’élever à 100 000 $ et des pouvoirs additionnels conférés au commissaire à la protection de la vie privée[5], la Loi sur la protection des renseignements personnels numériques et les risques entourant la cybersécurité ont propulsé la protection des données en tête des priorités de nombreux dirigeants et conseils. Les organisations doivent comprendre leurs responsabilités et se préparer en conséquence.
Comment pouvez-vous vous préparer?
Alors que le prochain cadre canadien de protection des données prend forme, les entreprises du pays doivent commencer à identifier et à mettre en place les changements qui s’imposent au sein de leurs organisations.
1-Mobiliser les responsables de la sécurité et de la protection des renseignements personnels de votre organisation
Ces personnes joueront un rôle essentiel en soutenant votre organisation dans l’établissement de sa stratégie générale de conformité et de son cadre de responsabilisation ainsi que dans la détermination des lacunes liées à sécurité et à la protection des renseignements personnels au sein de vos processus existants. De plus, ces personnes dirigeront sans doute votre équipe responsable des réponses aux incidents et effectueront plusieurs activités clés (telles que le confinement et l’envoi des notifications) lors d’une violation de données. Si votre organisation ne compte pas déjà de telles personnes au sein de ses rangs, trouvez un conseiller de confiance qui possède ces compétences. Amorcer la conversation tôt dans le processus peut vous aider à être sûr que vous êtes sur la bonne voie.
2-Identifier et classer les données confidentielles
Comprendre vos données est une première étape essentielle à leur protection. Ce n’est qu’après avoir identifié et classé de telles données que votre organisation peut évaluer l’applicabilité de la loi (c.-à-d. traitez-vous des renseignements d’identification personnels?), déterminer les exigences en matière de protection des données que vous conservez et établir le plan de réponse approprié en cas de compromission desdits renseignements.
3-Revoir les politiques, les processus et les procédures de réponses aux incidents
Votre organisation doit revoir sa politique et ses procédures de réponses aux incidents afin de s’assurer qu’elle a clairement défini les rôles et les responsabilités, les processus et les procédures, les plans et les mécanismes de notification ainsi que les protocoles de réponse. De plus, procéder à un test annuel de votre plan peut vous permettre d’évaluer l’efficacité et la validité de vos processus. La mise en œuvre d’un plan de réponse efficace aux atteintes à la vie privée et à la protection des renseignements personnels permet à votre organisation de se conformer à ses (nouvelles) exigences légales, tout en atténuant le risque global (à la fois lors d’une violation des données et à la suite de celle-ci). Nous recommandons également de retenir les services d’un conseiller expérimenté dans le cadre de ce processus pour aider à assurer l’objectivité.
4-Effectuer des évaluations des facteurs relatifs à la vie privée et des analyses des lacunes liées à la sécurité des données
Les évaluations des facteurs relatifs à la vie privée peuvent aider votre organisation à comprendre a) quels sont les renseignements personnels qu’elle conserve; b) pourquoi ces renseignements sont-ils recueillis et c) de quelle façon ces renseignements seront-ils recueillis, traités et enregistrés. Procéder à une évaluation des facteurs relatifs à la vie privée permet de réduire les risques d’entrave à la vie privée qui peuvent survenir dans le cadre des opérations quotidiennes de votre entreprise.
Les analyses des lacunes liées à la sécurité des données fournissent une comparaison de vos contrôles/programmes de sécurité actuels par rapport aux meilleures pratiques du secteur sur le plan de la sécurité. Ce type d’analyse contribue à cerner les menaces et les vulnérabilités auxquelles votre organisation est exposée, à élaborer une approche axée sur le risque aux fins d’attribution des fonds et des ressources et à démontrer que toutes les précautions raisonnables d’un point de vue commercial ont été prises dans le but de protéger les renseignements personnels en votre possession.
5-Gérer de façon proactive les partenaires sur le plan des réponses aux incidents
Étant donné la nécessité de répondre avec efficacité, efficience et rapidité lorsque se produit une violation des données, il est conseillé d’établir des partenariats proactifs avec des organisations qui peuvent vous aider à confiner et à résoudre une violation et à reprendre vos activités par la suite (conseillers juridiques, cabinets de relations publiques, experts en cybersécurité, compagnies d’assurance, bureaux de crédit, etc.) Ce n’est pas le moment de négocier des ententes avec des agences externes lorsqu’une violation de données se produit.
6-Évaluer les fournisseurs de services
Votre organisation doit passer en revue ses fournisseurs de services actuels. Étant donné que « le degré de cybersécurité d’une entreprise dépend de celui de ses fournisseurs »[6], il est essentiel de déterminer si l’un d’entre eux comporte un niveau de risque inacceptable à cause d’un manque de contrôles, de politiques ou de procédures de sécurité. Il est également conseillé de revoir vos procédures d’approvisionnement afin d’incorporer les exigences de cybersécurité et de protection des données à votre processus de sélection et aux contrats de service à venir.
7-Mettre en œuvre un programme de formation en matière de sensibilisation à la sécurité et à la protection des données
Vous devez planifier des ateliers d’information et fournir aux membres des équipes les documents de référence et le matériel de formation appropriés. Les employés jouent un rôle essentiel lorsque vient le temps d’assurer la protection de votre entreprise et de vos données. Non seulement doivent-ils recevoir la formation adéquate sur la façon de recueillir, de traiter et d’enregistrer les données afin d’empêcher les violations de données, ils doivent également savoir comment identifier les éventuelles violations et en faire état. Ils représentent votre première ligne de défense.
8-Considérer les solutions de gestion des informations et événements de sécurité
Les outils SIEM (Security Information and Event Management) prennent en charge la détection des menaces et la réponse aux incidents à l’aide de la collecte et de l’analyse en temps réel des événements liés à la sécurité ainsi que la production des rapports de conformité. Étant donné que dorénavant, la loi exige que les organisations tiennent à jour un registre de toutes les violations, il serait judicieux qu’elles élaborent leurs propres solutions technologiques ou aient recours aux services d’un tiers afin de les appuyer dans leurs efforts de détection et de conformité.
Comment Richter peut-il vous aider?
Chez Richter, nous avons une équipe de professionnels qui possèdent l’expertise appropriée pour répondre aux besoins de votre organisation. Nous confierons les mandats à des membres de l’équipe qui s’engageront à vous offrir des solutions conformes à vos attentes en matière de qualité élevée. Nos professionnels sont titulaires de titres professionnels pertinents, dont les suivants :
- Certified Information Systems Security Professional (CISSP);
- Certified Information Security Manager (CISM);
- Certified Information Privacy Professional (CIPP).
- Certified in Risk and Information Systems Control (CRISC);
- Certified Information Systems Auditor (CISA);
- Comptable professionnel agréé (CPA, CMA);
- Certified Internal Auditor (CIA).
[1] Citation de Mueller, Robert S., ancien directeur, Federal Bureau of Investigation. https://archives.fbi.gov/archives/news/speeches/combating-threats-in-the-cyber-world-outsmarting-terrorists-hackers-and-spies
[2] http://www.reuters.com/article/us-yahoo-m-a-verizon-idUSKBN15U21R
[3] https://www.priv.gc.ca/fr/nouvelles-du-commissariat/nouvelles-et-annonces/2016/nr-c_160927/
[4] http://laws-lois.justice.gc.ca/fra/loisAnnuelles/2015_32/page-1.html
[5] http://laws-lois.justice.gc.ca/fra/loisAnnuelles/2015_32/page-1.html
[6] http://www.reuters.com/article/us-regulator-cybersecurity-lawsky-idUSKCN0IB03220141022