Respect de la loi 25: la surveillance de votre réseau est la clé
Respect de la loi 25: la surveillance de votre réseau est la clé
La nouvelle loi 25 (projet de loi 64) sur la protection des renseignements personnels entre en vigueur le 22 septembre 2022. Pour rappel, cette loi exige que toutes les organisations publiques, privées et OBNL prennent des mesures pour protéger les renseignements personnels des Québécois.
La loi 25 exige que tous les incidents de confidentialité (brèches de sécurité concernant les renseignements personnels) soient signalés à la Commission d’Accès à l'Information. Des sanctions pénales pouvant aller jusqu'à 25 millions de $ sont prévues à partir de septembre 2023.
La loi 25 exige que vous signalez les incidents de confidentialité. Or pour que vous puissiez signaler un incident, il faut que vous soyez en mesure de la détecter. Cette partie est la plus difficile dans le processus de respect de cette loi.
Dans le présent article, nous allons vous indiquer les éléments sur lesquels vous devez concentrer vos énergies, en plus de la définition de vos politiques de sécurité et la désignation d’un responsable de la protection des renseignements personnels.
Qu’est ce qu’un incident de confidentialité?
Selon la loi 25, un « incident de confidentialité » est l’un des événements suivants:
1° l’accès non autorisé à un renseignement personnel;
2° l’utilisation non autorisée d’un renseignement personnel;
3° la communication non autorisée d’un renseignement personnel;
4° la perte d’un renseignement personnel ou toute autre atteinte à la protection d’un tel renseignement.
Les cas d’incidents auxquels vous devez accorder le plus d’attention
Deux (2) cas d’incidents de confidentialité vont causer le plus de cauchemars aux organisations car non seulement elles peuvent être difficiles à détecter, mais leurs conséquences sont majeures.
Ils peuvent sonner la fin d’une PME au regard des amendes prévues et des coûts de gestion de l’incident.
- Les vols de renseignements personnels par une personne ayant un accès autorisé au réseau : ce fut le cas du vol massif de renseignements personnels par un employé de Desjardins.
- Les exfiltrations de données par des rançongiciels : ceci est devenue une pratique courante car elle permet aux pirates d’avoir un 2eme moyen de pression si l’organisation victime dispose de sauvegardes récentes qui peuvent être restaurées. Dans le cas où l’organisation victime refuse de verser une rançon, les pirates publient les données comme ce fut le cas de BRP (près de 30 gigaoctets de données publiées).
Votre objectif: minimiser les risques d’incidents de confidentialité
Votre objectif doit être de minimiser les risques d’incidents de confidentialité car leurs conséquences peuvent être dramatiques (responsabilité pénale, amende pouvant aller jusqu'à 25 millions de dollars, etc.)
Pour cela, vous devez:
- Identifier tous les systèmes de votre réseau qui collectent, stockent et traitent des renseignements personnels et les protéger adéquatement
- Sensibiliser vos utilisateurs
- Déployer des technologies de détection d’intrusions (IDS/IPS/NDR) et de protection des terminaux (antivirus, EDR).
- Surveiller la sécurité de votre réseau 24/7 afin d’identifier rapidement les activités malicieuses qui vous ciblent et les bloquer pour éviter qu’ils se transforment en incidents.
La surveillance de la sécurité est la clé
Sans surveillance de la sécurité de votre réseau via des technologies appropriées, vous ne serez pas en mesure de détecter les incidents qui vous ciblent. Mettre l’accent sur la surveillance de son réseau est donc la meilleure option pour se mettre à l'abri des sanctions et amendes.
Ceci vous met aussi à l'abri du signalement de vos incidents au gouvernement par un tiers, ce qui est le scénario le plus redouté pour une organisation. Par exemple, un pirate qui exfiltre vos données (via un rançongiciel ou une intrusion) peut signaler l’incident au gouvernement du Québec si vous refusez de payer une rançon. Dans un tel cas, vous aurez du mal à expliquer au gouvernement que vous avez pris toutes les dispositions nécessaires pour protéger les renseignements personnels que vous détenez. Certaines organisations vont préférer verser une rançon aux pirates pour éviter de notifier le gouvernement. Cela est une très mauvaise idée car le pirate ne vous lâchera jamais.
Se préparer au pire et avoir un plan de réponse aux incidents
Les cyberattaques vont continuer à exploser et pour éviter toute surprise désagréable, vous devez vous préparer au pire. Pour cela, créer un plan de réponse aux incidents qui indique de manière claire qui fait quoi en cas d’incident de confidentialité. Vous devez ensuite tester votre plan au moins 1 fois par année afin de vous assurer qu’il fonctionnera bien en cas de besoin.
Si vous n’avez pas l’expertise, faites vous accompagner par une firme de cybersécurité spécialisée en réponse aux incidents.
Comment Streamscan peut vous aider?
Les cyberattaques explosent sans cesse. Sans surveillance de sécurité en continu, vous n’avez aucune visibilité sur les attaques qui vous ciblent. Or vous ne pouvez pas vous protéger de ce que vous ne voyez pas.
Laissez-nous mettre nos yeux sur votre réseau. Adhérez à notre plateforme de surveillance gérée MDR propulsée par notre technologie de détection de cybermenaces CDS et mettez vous à l'abri des cyberattaques.
Contactez nous au +1 877 208-9040 ou parlez à l’un de nos experts.