Passer au contenu principal
Techniciens utilisant un ordinateur dans la salle des serveurs
Canada
Nouvelles

La protection des données, talon d’Achille des entreprises canadiennes

Si vous faites des affaires, vous recueillez des données numériques. Voici trois conseils pour les protéger comme il se doit.

Techniciens utilisant un ordinateur dans la salle des serveursPour instaurer de bonnes mesures de protection des données, une organisation doit connaître la valeur des renseignements stockés et le degré de sensibilité des données (Jetta Productions Inc).

Les entreprises canadiennes doivent en faire plus pour protéger les données personnelles qu’elles recueillent, disent les spécialistes de la question.

Dans la première année de déclaration obligatoire des atteintes à la sécurité des données au Canada, le Commissariat à la protection de la vie privée (CPVP) a reçu 680 signalements, ce qui représente une augmentation de 600 % et le double de ses prévisions initiales. Des millions de Canadiens ont été touchés par une telle atteinte.

« Le nombre de déclarations est impressionnant et inquiétant. De toute évidence, les entreprises ont encore des progrès à faire pour établir et renforcer leurs mesures de sécurité », souligne Brent Homan, sous-commissaire à la conformité au CPVP.

« Nous avons développé d’importants indicateurs qui nous donnent une idée de l’ampleur du problème et de l’étendue des risques pour la population. »

L’année dernière s’inscrit comme la pire à ce jour au Canada pour les atteintes à la sécurité, compte tenu des cyberattaques qui ont frappé de grandes sociétés, dont le Mouvement Desjardins, Capital One, TransUnion et LifeLabs. C’est un avertissement pour les entreprises, grandes et petites : elles doivent réfléchir à leurs méthodes de collecte et de stockages des données, et aux mesures de sécurité nécessaires pour les protéger.

Voici trois recommandations à cet effet.

1. ÉVALUEZ LE RISQUE DE DEVENIR UNE CIBLE

Pour instaurer de bonnes procédures, une organisation doit d’abord connaître la valeur des renseignements stockés. Quel est le degré de sensibilité des données? Combien leur violation coûterait-elle? Dans quelle mesure l’organisation représente-t-elle une cible aux yeux d’individus malveillants?

« Le risque change du tout au tout dès lors que vous attribuez une valeur à des données », affirme Periklis Andritsos, professeur adjoint à la faculté de l’information de l’Université de Toronto et directeur de la technologie pour la plateforme d’analyse du parcours client ODAIA. « Une fois que vous avez mis un prix sur ces renseignements, toute l’ampleur des problèmes potentiels vous apparaît. »

M. Homan donne l’exemple de l’enquête sur l’atteinte à la sécurité subie en 2016 par l’Agence mondiale antidopage, à Montréal, qui a touché des athlètes de partout dans le monde. L’Agence a révélé que Fancy Bear, un groupe de cyberespions russes, avait divulgué des renseignements confidentiels sur des athlètes, leur état de santé et leur usage de substances normalement interdites (mais permises à des fins thérapeutiques).

« Des attaques pourraient viser des groupes ou organismes parapublics, poursuit M. Homan. Vous devez penser à votre organisation, non seulement aux mesures à prendre pour la protéger, mais aussi à la probabilité qu’elle représente une cible de grande valeur pour le monde extérieur. »

Les PME ont beaucoup de rattrapage à faire, estime M. Homan. Il cite la méconnaissance des lois sur la protection des renseignements personnels, le niveau de risque de cyberattaque et la valeur des données qu’elles détiennent. Il en résulte souvent des lacunes sur le plan des mesures de sécurité.

« Puisqu’elles représentent la majeure partie de notre économie, les PME doivent, elles aussi, se soucier de ces risques, poursuit-il. De plus en plus d’organisations pourraient devenir des cibles de grande valeur pour des gens mal intentionnés. »

2. PRENEZ UNE LONGUEUR D’AVANCE SUR LES RISQUES

Il ne suffit plus d’avoir des mesures de sécurité en place pour les menaces passées, prévient M. Homan. Les mécanismes de protection doivent pouvoir détecter les risques longtemps d’avance. Les escrocs désireux de s’emparer des renseignements que vous détenez cibleront vos vulnérabilités et frapperont à cet endroit.

« Nous sommes confrontés à un contexte en mutation et en évolution constante. Il faut demeurer à la barre et garder l’œil sur les indicateurs à tout moment. »

Évoquant le piratage contre Equifax qui a touché 147 millions de clients américains et environ 19 000 clients canadiens, en 2017, M. Homan explique comment les acteurs malveillants s’y sont pris pour trouver une faiblesse dans un système et y accéder plus de deux mois avant qu’Equifax détecte quoi que ce soit.

Pour éviter de telles situations, les organisations doivent se doter de processus, de technologies et du personnel nécessaires pour faire face aux attaques, évoluer et s’adapter. « Les employés doivent savoir ce qu’on attend d’eux quand une menace ou une vulnérabilité est identifiée, si un correctif est apporté, si la surveillance est efficace, poursuit M. Homan. Tous doivent s’imprégner deb ces procédures et de cette culture d’atténuation du risque au quotidien, et être prêts à réagir sur-le-champ aux atteintes. »

En plus de témoigner de votre engagement à respecter les lois sur la protection des renseignements personnels, l’adoption de bonnes mesures de protection des données démontre que vous assumez vos responsabilités envers vos employés, vos partenaires et vos clients.

« L’exemple doit venir d’en haut : c’est à la direction de montrer qu’elle prend ses responsabilités. La protection contre les atteintes à la sécurité doit devenir une responsabilité dynamique plutôt que statique. On ne peut pas prendre ces mesures une fois pour toutes, puis ne plus y penser. »

3. FAITES DE LA PROTECTION DES DONNÉES UN SOUCI PERMANENT

Après avoir mis en place des politiques et procédures, vous devez les réexaminer régulièrement pour cerner d’éventuelles lacunes, failles ou erreurs dans vos systèmes. Vous devez aussi vous tenir au fait des changements touchant la réglementation.

« Revoyez souvent vos politiques et tout ce qui concerne les données. Prenez le pouls des procédures et des systèmes de sécurité, conseille M. Andritsos. Tout évolue sans cesse… Une fois que vous connaîtrez les conséquences éventuelles, vous pourrez recueillir et stocker des données en toute confiance. »

Ainsi, à l’Agence mondiale antidopage, les données n’étaient cryptées que durant leur transfert (dans Internet ou dans le réseau privé de l’Agence), et non quand elles étaient « inactives » (stockées sur un disque dur, par exemple), relate M. Homan. Il y avait donc là une vulnérabilité que des pirates ont su déceler et exploiter. « S’il est important d’avoir des mécanismes de protection, il l’est tout autant de s’assurer qu’ils sont mis en œuvre correctement. »

Pour mieux protéger nos données, des experts du monde entier s’emploient à élaborer et à mettre à jour des normes de cryptage. À ce propos, les exigences de l’Université de la Colombie-Britannique peuvent servir de ligne directrices.

PRÉPAREZ-VOUS

Renseignez-vous sur les moyens que peut prendre votre organisation pour se protéger adéquatement contre les cyberattaques et instaurer de bonnes méthodes de prévention grâce à CPA Canada : lisez le document Cybersécurité et protection des données : Tendance technologique, assistez au webinaire Tendances en matière d’information et de pratiques liées à la cybersécurité, ou suivez la formation Certificat en gestion des données.