Photo by Marvin Esteve on Unsplash

Régime de déclaration obligatoire des incidents de cybersécurité au Canada: un an déjà

Déjà un an que le règlement sur la déclaration obligatoire d’atteintes à la vie privée, en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (la «LPRPDE» ou «PIPEDA», de son acronyme en anglais) est entré en vigueur.

Comme on s’en souviendra, depuis l’an dernier, les entreprises visées par la LPRPDE (dont de nombreuses sociétés québécoises) doivent aviser le Commissariat à la protection de la vie privée de toute atteinte à leurs mesures de sécurité susceptible d’avoir mis en danger des renseignements personnels d’une façon qui représente un «risque réel de préjudice grave» pour les individus en question. Selon un billet publié par le commissaire récemment, en un an, 680 déclarations de ce type ont été faites par nos entreprises, y compris des PME.

Selon les statistiques compilées par le commissaire, la majorité des cas a trait à un accès non autorisé (par ex., une intrusion informatique), par opposition à une simple perte (par ex. de clé USB) ou à un vol (par ex., d’un ordinateur portable). Un cas de divulgation sur cinq (1/5) touche une divulgation accidentelle, certes, mais la majorité implique bien un tiers aux mauvaises intentions. Cela dit, seuls 8% des cas concernent un vol de documents ou de matériel.

En somme, eh oui, ce sont bien des cas de piratage informatique qui mettent en péril les renseignements personnels le plus souvent. Cela dit, les cas de vol ou d’accès non autorisé aux données comprennent aussi des cas où un malfrat y parvient en convainquant simplement une entreprise qu’il est un individu pour lequel il se fait passer. Malheureusement, ce genre de subterfuge continue de permettre à des tiers mal intentionnés d’accéder à des renseignements personnels sur autrui à une fréquence relativement élevée. On note d’ailleurs que les tiers malveillants font preuve de tactiques de plus en plus sophistiquées dans leurs tentatives de convaincre les préposés d’organisations de leur fausse identité, par exemple pour en extraire davantage d’information. Pour cette raison, les entreprises devraient avoir des protocoles de plus en plus sophistiqués afin d’éviter de tomber trop facilement dans ce genre de pièges.

Le rapport souligne d’ailleurs que certaines attaques ne visent qu’une seule personne, en ciblant un individu précis, ce qui peut néanmoins demander qu’on avise les autorités une fois qu’on constate avoir été berné. Rappel au passage donc que ce n’est pas parce qu’il n’y a qu’une seule victime qu’on n’est pas dans un cas qui doit être signalé.

On en vient à certains conseils pour les entreprises à ce sujet, que le commissaire profite de son billet pour rappeler :

  • Sachez ce que vous collectez comme renseignements et comment, y compris là où cette information est stockée et comment;
  • Voyez à limiter ce que vous collectez à ce qui s’avère vraiment nécessaire;
  • Portez attention aux mesures de protection des renseignements en votre possession et assurez-vous que celles-ci comprennent des mesures techniques adéquates (évidemment), mais aussi une formation et des processus adéquats à l’interne, notamment par une formation adéquate de votre personnel à ce sujet;
  • Tenez-vous au courant des incidents de sécurité qui sont signalés dans votre industrie, puisque les criminels adoptent souvent une formule qu’ils réutilisent, lorsqu’elle fonctionne, afin de s’en prendre à d’autres organisations similaires;
  • En cas d’incident, réagissez en nommant une personne précise avec les pouvoirs et accès nécessaires pour tirer la chose au clair, en plus d’aviser le Commissariat;
  • Dans le cadre de votre réaction suite à un problème, évitez aussi de détruire la preuve, ce qui se produit malheureusement trop souvent par inadvertance.