SANS FRAIS 1 877-777-6412

Mobilité : nouveaux défis et nouvelles possibilités pour les organisations

 À l’heure de la mobilité et à une époque où la démarcation entre la vie personnelle et la vie professionnelle s’estompe de plus en plus, le commissaire à la protection de la vie privée du Canada ainsi que les commissaires à l’information et à la protection de la vie privée de la Colombie-Britannique et de l’Alberta ont récemment publié des lignes directrices conjointes pour aider les organisations à : i) réduire les risques d’atteinte à la vie privée dans le cadre de l’accès aux données de l’employeur au moyen des appareils personnels des employés; et ii) protéger le droit à la vie privée des employés relativement aux renseignements personnels stockés sur des appareils personnels des employés.

Ces lignes directrices s’appliquent à tous les types d’appareils personnels d’employés, c’est-à-dire à l’ensemble des ordinateurs de bureau et des appareils mobiles, comme les téléphones intelligents, les tablettes et les ordinateurs portables, qui sont utilisés pour accéder aux données, aux courriels, aux communications, aux applications de même qu’aux autres processus et renseignements d’une organisation, et ont pour objectif d’aborder les questions liées : i) à l’évaluation des risques; ii) aux utilisations acceptables des appareils personnels des employés; iii) à la surveillance et à la gestion des applications exercées par une organisation; iv) au partage des appareils personnels des employés; v) à la connexion aux serveurs d’une organisation; vi) à la responsabilité à l’égard des caractéristiques de sécurité; vii) aux mises à jour des logiciels; et viii) aux forfaits voix et aux forfaits données.

De plus, les lignes directrices insistent sur le fait que les programmes « Apportez votre propre appareil » des organisations devraient prévoir des restrictions : i) aux services d’infonuagique; ii) aux appareils et aux systèmes d’exploitation; et iii) aux renseignements qui peuvent ou qui ne peuvent pas être stockés sur les appareils personnels des employés. Dans un même ordre d’idées, les lignes directrices soulignent que ces programmes devraient aborder un certain nombre de questions, notamment : a) les responsabilités de l’utilisateur; b) les utilisations acceptables et non acceptables des appareils personnels des employés; c) les exigences relatives à l’accès et à la sécurité; et d) le partage des appareils avec des parents ou des amis.

Enfin, les lignes directrices mentionnent que même si les programmes « Apportez votre propre appareil » peuvent s’inscrire dans le cadre d’une stratégie de réduction des coûts d’une organisation, l’utilisation d’appareils personnels des employés à la fois à des fins personnelles et professionnelles peut comporter des risques en matière de vie privée et de sécurité qui pourraient avoir des répercussions tant sur les renseignements personnels que sur les renseignements d’une organisation.

Par conséquent, outre ce qui précède, les lignes directrices présentent une série de mesures à étudier, notamment : i) mettre en oeuvre un logiciel de gestion des appareils mobiles qui vise à gérer les appareils personnels des employés qui se connectent au réseau de l’organisation et mettre en place des mesures d’authentification adéquates; ii) conclure, avec chaque propriétaire d’un appareil personnel utilisé à des fins professionnelles, une entente qui énonce les activités d’administration que l’organisation peut exécuter sur les appareils personnels des employés; iii) segmenter les appareils personnels des employés en deux compartiments; iv) mettre en application des procédures sur le chiffrement, le stockage et la conservation; v) se pencher sur les vulnérabilités et la protection contre les maliciels; et vi) donner une formation appropriée à l’ensemble des professionnels des technologies de l’information et des utilisateurs.

Auteurs: Véronique Barry, Kateri-Anne Grenier, Norton Rose Fulbright

Article original 

Personnes-ressources

  • Christine A. Carron, Ad. E., Montréal
  • Kateri-Anne Grenier, Québec
  • Steve J. Tenai, Toronto
  • Anthony (Tony) Morris, Calgary

Parler maintenant ou se taire à jamais!

 Les consultations sur la réglementation des avis d’atteintes aux mesures de sécurité en vertu de la LPRPDE sont maintenant en cours.

En juin 2015, le Parlement du Canada a adopté la Loi sur la protection des renseignements personnels numériques (Loi) qui modifie la LPRPDE afin de prévoir la déclaration obligatoire des atteintes aux mesures de sécurité au commissaire à la protection de la vie privée et aux personnes touchées dans des circonstances très proches de celles que prévoit la Personal Information Protection Act de l’Alberta. Cependant, les exigences de déclaration n’entreront pas en vigueur tant que le règlement concernant les détails de l’avis n’a pas été édicté.

C’est donc maintenant que vous devez participer à l’élaboration du règlement qui définira vos obligations à l’avenir.

Rappelons que la Loi exige la déclaration d’une atteinte aux mesures de sécurité lorsqu’il est raisonnable, dans les circonstances, de croire que celle-ci crée un risque réel de préjudice grave. Elle prévoit trois critères dont il faut tenir compte pour déterminer la réponse à cette question.

Les parties prenantes se verront poser quelque 26 questions sur une variété de sujets, notamment si les critères visant la déclaration des atteintes aux mesures de sécurité doivent être précisés davantage, si le contenu de l’avis devrait être prévu et si les détails de toute violation devraient être conservés – même dans le cas d’une violation ne répondant pas aux critères relatifs à l’avis obligatoire – et ce, pendant combien de temps.

Préserver la flexibilité de la déclaration

En vertu de la Loi et de la législation albertaine, les entreprises disposent actuellement d’une latitude considérable quant aux moyens de communiquer l’information relative à une atteinte aux mesures de sécurité (courriel, en personne, poste) et au contenu de cette communication à l’intention des personnes touchées, pourvu que l’avis soit suffisamment détaillé pour permettre à celles-ci d’atténuer le préjudice qu’elles subissent. Cette souplesse a été bien utile aux entreprises dans le cadre des violations visées par la législation albertaine; si les parties prenantes estiment qu’il faut la préserver, elles doivent se prononcer maintenant.

Il serait également utile de fournir des commentaires sur les propositions concernant l’envoi de l’avis de l’atteinte aux mesures de sécurité aux tiers qui sont en mesure d’atténuer le risque de préjudice.

Des ajustements pour certains secteurs sont possibles

Le règlement qui sera adopté pourrait avoir une incidence sur l’ensemble des entreprises canadiennes. Comme le gouvernement a indiqué qu’il était disposé à moduler certaines dispositions du règlement pour répondre aux besoins spécifiques des entreprises de certains secteurs, il est important que ces entreprises fassent part de leurs besoins dès maintenant.

Cette première période de consultation se termine à la fin du mois de mai. Par la suite, le gouvernement publiera un projet de règlement et sollicitera d’autres commentaires du public. Cependant, il est toujours préférable de s’impliquer dans l’élaboration du règlement avant sa publication que de tenter de le faire modifier après sa rédaction.

Auteur: Christine A. Carron, Ad. E, Norton Rose Fulbright

Article original 

Personnes-ressources

  • Christine A. Carron, Ad. E., Montréal
  • Kateri-Anne Grenier, Québec
  • Steve J. Tenai, Toronto
  • Anthony (Tony) Morris, Calgary

SANS FRAIS 1 877-777-6412

Assurance en cyberrisque

Vous êtes courtier en assurance et la cybersécurité est l’une de vos préoccupations? Vous cherchez à mieux comprendre les enjeux de sécurité de vos clients afin de mieux les conseiller? Nous pouvons :

Si vous avez une entente avec nous :

Gestion d'incidents de sécurité

Vous voulez être prêt en cas d’incident de sécurité dans votre entreprise? Vous cherchez un accompagnement dans la mise en place d’un plan de gestion d’incident afin d’en minimiser au maximum les conséquences? Nous pouvons :

Pour nos clients avec contrat de service:

Assurance en cyberrisque

Vous êtes courtier en assurance et la cybersécurité est l’une de vos préoccupations? Nous vous aidons à comprendre tous les enjeux de sécurité chez vos clients pour que vous puissiez leur offrir le meilleur service possible.

Client :

Courtier :

Sécurité des services infonuagiques

Ne prenez pas à la légère les enjeux de sécurité du Cloud! Avec nous, vous bénéficierez de la souplesse du Cloud tout en diminuant les risques. Vous et vos clients serez rassurés de savoir vos données en sécurité.

Gouvernance de la sécurité

La sécurité informatique doit faire partie des préoccupations de la direction de votre entreprise. La mise en place d’une politique de sécurité et de la catégorisation des actifs sont notamment des éléments importants d’une stratégie efficace en cybersécurité.

Sensibilisation à la sécurité

Saviez-vous que l’hameçonnage est le vecteur n°1 pour réaliser des fraudes dans les entreprises? Diminuez les risques d’être victime d’incidents de cybersécurité grâce à nos ateliers de sensibilisation spécialement conçus pour vos employés.

Nous mettons toujours l’accent sur la vulgarisation des concepts et des enjeux de sécurité

Service-conseil en cybersécurité

Votre entreprise recherche un accompagnement à plein temps pour la gestion de la cybersécurité? Faites appel à nous! L’un de nos précieux talents se fera un plaisir de venir travailler dans votre entreprise au quotidien.

Notre équipe est composée de conseillers en architecture de sécurité, d’analystes en sécurité, de conseillers en gouvernance, de spécialiste en Gestion des Identités et des Accès, de spécialiste en test d’intrusions, etc.

Sécurité des services infonuagiques

Ne prenez pas à la légère les enjeux de sécurité du Cloud! Avec nous, vous bénéficierez de la souplesse du Cloud tout en diminuant les risques. Vous et vos clients serez rassurés de savoir vos données en sécurité.

Évaluez les risques de votre entreprise

Protégez vos données les plus importantes et épargnez les coûts d’un incident de sécurité. Cyberswat vous aide à identifier les situations à risque et vous donne des recommandations concrètes et faciles à mettre en place.