Comme la plupart des entreprises, vous avez besoin, pour opérer, de conserver des renseignements personnels sensibles tels que des noms, des numéros d’assurances sociales, des numéros de carte de crédit et d’autres données sensibles permettant d’identifier vos clients, vos employés ou vos partenaires.
Les exemples d’entreprises ayant pris l’habitude d’utiliser ces renseignements personnels sans pour autant les protéger adéquatement, ne manquent pas. Il suffit de penser au cas de Desjardins, dont 4,2 millions de clients ont été touchées par un vol de données.
Les images ci-dessous, illustrent d’une part l’importance des pertes de données associées à l’interne, et d’autre part le fait que l'exfiltration de données corresponde à 68 % des attaques.
C’est cette situation qui a conduit le législateur Québécois à adopter la Loi 25, afin de forcer les entreprises, à l'aide de pénalités extrêmement dissuasives, à mieux protéger les informations personnelles des citoyens.
Rappelons que les amendes pourraient atteindre 25 millions de dollars, ou à 4% du chiffre d’affaires mondial de l’exercice précédent si cette dernière somme est plus élevée. Ces montants sont doublés en cas de récidive.
Les conséquences d’une fuite pour votre entreprise
À l’évidence, les fuites de données, et particulièrement celles concernant les renseignements personnels, peuvent avoir de très graves répercussions sur les individus qui en sont victimes, mais aussi sur l'entreprise, s'ils ne sont pas détectés ou (mieux encore) bloqués en temps opportun.
Par conséquent, la mise en place d’outils technologiques appropriés est de la plus haute importance pour les détecter
Dans cet article, on vous propose donc d’examiner comment Microsoft peut vous aider à vous conformer aux exigences de la Loi 25 afin de minimiser le risque de sanctions en protégeant au mieux les données qui vous sont confiées.
L’entrée en vigueur progressive de la Loi 25 concernant la protection des renseignements personnels pourrait vous laisser croire que vous avez du temps devant vous pour vous mettre en conformité avec les nouvelles exigences.
Mais, il n’en est rien.
Même si les sanctions administratives pécuniaires et les sanctions pénales ne s’appliqueront qu’à partir de septembre 2023, l’obligation de nommer un responsable de la protection des renseignements personnels ainsi que celle de déclarer les incident de confidentialité à la Commission d’accès à l’information (CAI) prennent effet dès le 22 septembre 2022.
En cas d’incident de confidentialité impliquant un renseignement personnel , la loi exige des entreprises de :
Encore faut-il que vous soyez en mesure de détecter ces incidents!
Les entreprises ont jusqu’au 22 septembre 2022 pour nommer un responsable de la protection des renseignements personnels et mettre en place leur plan de réponse aux incidents de confidentialité.
Un incident de confidentialité survient lorsqu’il y a accès non autorisé par la loi à un renseignement personnel, à son utilisation ou à sa communication, de même que sa perte ou toute autre forme d’atteinte à sa protection.
Voici quelques exemples d’incidents de confidentialité :
Parce que la loi a pour but d’améliorer la gouvernance des données et les pratiques en matière de confidentialité, elle sous-entend nécessairement un aspect technologique important pour être en mesure de surveiller et répondre aux incidents de confidentialité.
En effet, pour que les renseignements personnels demeurent privés, ils doivent être sécurisés.
C’est dire que vous devez vous doter d’une solide politique de gestion des données associée à une protection des données adéquate.
D’une part, la quantité toujours croissante de données personnelles collectées par les entreprises pose la question de la confidentialité des renseignements personnels et donc celle de la conformité réglementaire à la Loi 25.
D’autre part, le tissu industriel du Québec étant majoritairement constitué de PME, Microsoft 365 Business Premium devrait être la norme.
L'image ci-dessous illustre l’approche de Microsoft.
Certaines fonctionnalités nécessitent Microsoft 365 E5. Cependant les technologie Microsoft Purview Information Protection et Microsoft Purview Data loss prevention (DLP) expliquées plus bas font partie intégrante de Microsoft Business Premium.
Les questions initiales que vous devriez vous poser sont les suivantes :
Microsoft Purview Information Protection permet de découvrir, classer et de protéger, et gérer les informations sensibles dans les documents et les courriels en appliquant des étiquettes. Ceci permet donc de contrôler qui a accès aux informations de l’entreprise, en appliquant des restrictions sur le transfert, la copie ou l’impression.
Avec Microsoft Purview Data loss prevention (DLP) pour Exchange Online, SharePoint Online et OneDrive Entreprise, les entreprises peuvent identifier, surveiller et protéger automatiquement les informations sensibles dans les courriels et les fichiers (y compris les fichiers stockés dans les référentiels de fichiers Microsoft Teams). Ceci permet donc d’empêcher les employés de partager des informations sensibles telles que les informations de carte de crédit et les numéros d’assurance sociale.
Vous pouvez mettre en œuvre des pratiques de cybersécurité sans protection de la vie privée, mais vous ne pouvez pas mettre en œuvre des pratiques de protection de la vie privée sans cybersécurité.
Et même si vos politiques de collecte de données respectent la loi, si vous ne protégez pas ces données avec des mesures de sécurité adéquates, telles que l’authentification multi facteur, la sécurité avancée des points d’extrémité et la gestion des accès, vous risquez fortement de subir une brèche de données. Et qui voudrait attirer ainsi l’attention des régulateurs ?
Puisque vous utilisez Microsoft M365 Business Premium ou Microsoft E3 , vous disposez déjà de Microsoft Purview Information Protection et Microsoft Purview Data loss prevention (DLP). Il suffit de les configurer.
Si vous n’avez pas commencé votre processus de conformité à la Loi 25, vous devriez vous y mettre tout de suite et rehausser sans attendre votre niveau de sécurité.
Vous pourrez ainsi prouvé que vous avez mis en place les mesures adéquates pour protéger les renseignements personnels dont vous avez la garde et que vous disposez d’une gestion efficace des incidents.
Present met à votre disposition son équipe d’experts en cybersécurité afin que vous puissiez vous concentrer sur le succès de vos affaires, l’esprit tranquille, tout en minimisant vos risques de brèches.
La bonne utilisation de la technologie relève les défis de l'entreprise et stimule la croissance de l'entreprise dans tous les domaines d'une entreprise. Nous espérons que ce blog vous donnera un aperçu du développement de stratégies et de tactiques pour vous permettre d'identifier ces principaux moteurs de croissance et de suivre le rythme et d'anticiper les changements technologiques rapides d'aujourd'hui.