La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) est parmi les lois canadiennes sur la confidentialité, connue si vous êtes une organisation basée au Canada. En vigueur depuis plus de 20 ans, elle établit des règles sur la façon dont les entreprises doivent recueillir, utiliser et communiquer les renseignements personnels dans le cadre de leurs activités commerciales. Parmi les renseignements personnels identifiables (RPI) qui sont protégés par la LPRPDE, citons le nom, l’âge, le numéro d’identification, le revenu, l’origine ethnique, le groupe sanguin, etc.
Cependant, en novembre 2020, le gouvernement du Canada a proposé la Loi de mise en œuvre de la Charte numérique afin de renforcer les protections de la vie privée des Canadiens. Cette loi créera la loi sur la protection de la vie privée des consommateurs (CPPA), qui abrogera certaines parties de la LPRPDE. Si ou quand elle sera adoptée, les entreprises canadiennes devront se conformer à la nouvelle réglementation faisant partie des lois canadiennes sur la confidentialité. Mais il n’y a pas de raison d’attendre, car la LPRPDE et la CPPA ont toutes deux la même mission et il est préférable d’avoir les bases couvertes dans un monde de plus en plus numérique.
Que se passe-t-il en cas de violation de la confidentialité ?
La LPRPDE exige que les organisations fassent un rapport si la violation pose un risque réel de préjudice important, ce qui inclut le vol d’identité et les mots de passe compromis. La non-conformité à la LPRPDE peut coûter jusqu’à 100 000 $ selon la gravité de la violation, tandis que la LPC propose une pénalité maximale de 25 000 000 $ ou de 5 % du revenu mondial brut de l’exercice financier précédent, selon le montant le plus élevé.
Violations de données : Au centre de l’attention en 2022
Les données sont le nouvel or, et le travail à distance a rendu les entreprises plus vulnérables que jamais sur le front de la sécurité des terminaux.
En mars 2022, le groupe de pirates Lapsus$, spécialisé dans l’extorsion de données, a fait les gros titres lorsqu’il a partagé des captures d’écran affirmant avoir violé une organisation de gestion des identités et des accès. L’organisation a reconnu la violation et a déclaré qu’environ 366 de ses clients avaient été touchés. À peu près au même moment, un géant de la technologie a également reconnu avoir été confronté à une violation par Lapsus$, où les comptes de l’un de ses employés ont été compromis.
Selon une enquête de Grant Thornton, le Centre de la sécurité des télécommunications a déclaré être au courant de 235 incidents de ransomware contre des victimes canadiennes entre le 1er janvier 2021 et le 16 novembre 2021. L’enquête a également révélé que plus de la moitié de ces cibles étaient des fournisseurs d’infrastructures essentielles, notamment dans les secteurs de l’énergie, des soins de santé et de la fabrication.
“Ce que j’ai remarqué au Canada, c’est que beaucoup d’organisations se disent “ça ne va pas m’arriver.” – Peter Morin, leader national en matière de cybersécurité chez Grant Thornton Canada.
Dans une autre enquête réalisée en août 2021 auprès de 510 décideurs en matière de sécurité au Canada, 17 % des répondants ont déclaré avoir subi une attaque par ransomware au cours des 12 derniers mois, et 69 % des personnes touchées ont payé une rançon.
De telles violations de données ne manquent pas d’entacher la réputation de l’organisation et d’affecter l’intérêt des clients et des prospects pour les activités commerciales.
Comment atténuer de telles violations ?
Si une organisation peut tirer parti d’une série de solutions de cybersécurité, voici quelques-unes des mesures de base à mettre en place.
L’adoption de politiques BYOD sur les lieux de travail a fait de la surveillance et de la gestion des terminaux un défi majeur pour les équipes informatiques. La première étape consiste à mettre en place un système d’authentification multifactorielle (MFA). Il n’est pas surprenant que des attaquants tels que Lapsus$ tirent parti de facteurs MFA faibles, comme de simples notifications push qui peuvent être interceptées via l’échange de cartes SIM. Au contraire, la correspondance des numéros dans le cadre de la MFA pourrait atténuer ces menaces. Le Commissariat à la protection de la vie privée du Canada (CPVP) a également énuméré d’autres lignes directrices.
- Mettre en œuvre un protocole de gestion des identités et des accès infaillible
Le principe du Zero Trust est aujourd’hui plus important que jamais. Les organisations doivent appliquer le principe du moindre privilège et de l’accès juste à temps pour s’assurer que les bonnes personnes obtiennent le bon niveau d’accès aux seules ressources dont elles ont besoin.
- Exploiter les outils de détection des menaces en temps réel
Compte tenu du nombre considérable de vecteurs d’attaque potentiels, un outil de détection des menaces en temps réel est indispensable. Les organisations devraient exploiter l’UEBA et les algorithmes ML pour identifier les comportements anormaux et aider à prévenir le vol de données.
- Créer un périmètre de sécurité réseau fiable
Une attaque qui compromet le réseau d’une organisation peut également exposer des informations sensibles, notamment les DPI, les DPI électroniques et les informations sur les transactions, à des acteurs malveillants. Les capacités d’analyse des journaux permettent de surveiller l’utilisation d’Internet par tous les employés, y compris ceux qui se connectent à l’extérieur du réseau via un VPN. Les alertes de sécurité et d’anomalies de trafic en temps réel aident également à détecter les intrusions de réseau de type “zero-day” et les attaques DDoS.
- Disposer d’une stratégie de prévention des pertes de données au niveau des terminaux
Les organisations doivent identifier les fichiers contenant des informations nominatives sur les terminaux, les conteneuriser vers des applications de confiance et s’assurer que l’échange de données se fait uniquement via des domaines de confiance. Elles doivent également surveiller de près les actions spécifiques des utilisateurs et mettre fin aux tentatives de vol de données, maintenant que les attaques par hameçonnage sont monnaie courante.
Pourquoi la confidentialité des données est-elle plus importante que jamais pour les organisations canadiennes?
Selon un sondage mené par le CPVP en 2021 sur les questions liées à la protection de la vie privée, 87 % des Canadiens ont exprimé un certain niveau d’inquiétude quant à la protection de la vie privée.
Avec l’évolution continue vers un milieu de travail numérique, les lois, canadiennes ou autres, sur la confidentialité et la protection de la vie privée deviennent de plus en plus strictes. Les organisations qui sont agiles et qui adoptent une approche proactive plutôt que réactive face aux violations de données seront résilientes dans le paysage des menaces en constante évolution.
Source : Canadian privacy laws revisited: Is your organization staying ahead of the curve?