Dix conseils pour réduire le risque d’atteinte à la vie privée

Juillet 2014

Les atteintes à la vie privée sont devenues monnaie courante au Canada. En effet, il est rare qu’il se passe une semaine sans qu’une atteinte soit signalée par une entreprise ou par une source externe, comme un blogueur spécialisé dans les questions de sécurité. Outre les répercussions pour les personnes touchées par ces incidents, les atteintes peuvent avoir des conséquences importantes et à long terme pour les organisations, notamment en raison de la diminution de la confiance des consommateurs.

Le présent document s’appuie sur les efforts déployés par le Commissariat à la protection de la vie privée pour venir en aide aux organisations qui ont subi des atteintes. Il vise à donner aux organisations des renseignements sur certaines étapes cruciales à suivre afin de réduire la probabilité d’atteinte touchant les renseignements personnels de leurs clients.

Sachez à quelles menaces vous vous exposez

1. Prenez connaissance des renseignements personnels dont vous disposez, de l’endroit où ils se trouvent et de ce que vous faites avec ceux-ci. Les inventaires des données et les descriptions des processus aident à connaître les renseignements personnels que vous devez protéger, ainsi que le moment et l’endroit où vous devez les protéger. Quand et dans quels contextes recueillez-vous des renseignements personnels? Où cette information est-elle acheminée? Quelles personnes peuvent y accéder et que font-elles avec celle-ci? Vous devez connaître vos données pour pouvoir les protéger!

2. Prenez connaissance de vos vulnérabilités. Réalisez des évaluations du risque et de la vulnérabilité et/ou des essais de pénétration au sein de votre organisation, afin de cerner les menaces pour la vie privée. Ne vous concentrez pas uniquement sur les vulnérabilités techniques. Est-ce que des tiers recueillent des renseignements personnels pour votre compte sans que des mesures de sécurité adéquates aient été mises en place? Est-ce que vous utilisez des formulaires de demande papier, qui sont transférés à un lieu central (en cas de perte, vous n’aurez aucune façon de déterminer quelles personnes sont touchées et encore moins de les aviser)? Si vous mettez à niveau vos systèmes, est-ce que les anciens systèmes et bases de données demeurent actifs, sans surveillance et avec des failles non corrigées? Le Commissariat a observé des atteintes découlant de chacun de ces scénarios. Déterminez quels sont les points faibles de votre organisation avant qu’une atteinte ne le fasse pour vous!

3. Connaissez votre industrie. Soyez au courant des atteintes qui ont frappé votre industrie. Les pirates utilisent souvent les mêmes tactiques pour attaquer plusieurs organisations. Portez attention aux alertes et aux autres renseignements transmis par votre association industrielle. Peu importe votre source d’information concernant votre secteur d’activité, ne soyez pas la prochaine cible vulnérable aux atteintes!

Ne songez pas uniquement aux pirates

4. Cryptez les ordinateurs portatifs, les clés USB et les autres dispositifs portatifs. Les organisations se concentrent souvent sur les atteintes à la vie privée provoquées par des pirates, mais, ce faisant, elles ne tiennent pas compte d’autres menaces importantes. Le Commissariat a observé que possiblement le type le plus courant d’atteinte pouvant être prévenu découle de la perte ou du vol d’ordinateurs portatifs, de clés USB et d’autres dispositifs portatifs non cryptés. Dans bon nombre de ces incidents, l’utilisation d’un cryptage suffisamment solide aurait pu transformer une atteinte à la vie privée qui a fait la une des médias en un problème mineur.

5. Limitez les renseignements personnels que vous recueillez, ainsi que ceux que vous conservez. Vous devez savoir pour quelle raison vous recueillez chaque renseignement personnel et aussi pourquoi vous les conservez. Dans la mesure du possible, ne recueillez pas de renseignements personnels. Par exemple, il n’est habituellement pas nécessaire de prendre en note le numéro inscrit sur la carte d’identité d’une personne pour confirmer son identité; il suffit seulement d’y jeter un coup d’oeil attentif. En outre, si des renseignements personnels ne sont recueillis qu’à des fins limitées, éliminez-les en toute sécurité une fois qu’ils ont été utilisés à ces fins. N’oubliez pas : vous ne pouvez pas perdre quelque chose que vous n’avez pas!

6. Ne négligez pas l’étape de la fin de vie des renseignements personnels. Vous devez protéger les renseignements personnels pendant toute la durée de leur cycle de vie, y compris à la toute fin de celui-ci, même s’il s’agit d’une étape qui est souvent négligée. Définissez clairement vos politiques et vos procédures en ce qui a trait à la destruction sécuritaire des renseignements personnels et veillez à ce qu’elles soient respectéesNote de bas de page 1. Le Commissariat a observé des cas d’atteinte découlant d’une situation où des documents avaient été laissés sur place lors d’un déménagement ou mis au rebut, ou encore du fait que des renseignements n’avaient pas correctement été supprimés des appareils électroniques mis au rebut ou envoyés au recyclage. Tel un héros de film d’action, les renseignements personnels sont tenaces : souvent, ils survivent et réapparaissent si le processus de destruction n’est pas mené à bien comme il se doit.

7. Formez vos employés. Les politiques ne sont efficaces que si les personnes responsables de leur mise en œuvre et de leur respect sont au courant de leur contenu, de leur raison d’être et des conséquences applicables s’ils ne s’acquittent pas de leurs responsabilités. Vous devriez avoir des programmes permanents de formation sur la vie privée et la sécurité qui vont bien au-delà d’exercices consistant à cocher des cases. Les employés qui comprennent bien leurs rôles et leurs responsabilités quant à la protection des renseignements personnels sont sans doute une des meilleures défenses d’une organisation contre les atteintes à la vie privée.

8. Restreignez et surveillez l’accès aux renseignements personnels. Les employés ne devraient avoir accès qu’aux renseignements personnels qu’ils ont besoin de connaître, surtout si ces renseignements sont de nature délicate. Cela vous aidera à vous assurer qu’ils ne soient pas la cause, accidentellement ou intentionnellement, d’une atteinte à la vie privée. En outre, des registres d’accès faisant l’objet d’une surveillance peuvent permettre de repérer les comportements inusités et peut-être de découvrir l’existence d’une atteinte avant qu’elle n’ait fait trop de dommages, voir avant même qu’elle ne survienne. N’imposez pas à vos employés un fardeau d’information supérieur à ce dont ils ont besoin pour faire leur travail.

Mais n’oubliez pas non plus les pirates!

9. Munissez-vous de logiciels et de mesures de protection, et tenez-les à jour. C’est le b.a.-ba de la sécurité : si vous ne vous protégez pas contre les vulnérabilités connues, vous augmentez le risque d’une atteinte. Mettez en place des processus systématiques et étayés afin que les correctifs liés à la sécurité soient appliqués au bon moment et que les logiciels qui ne sont plus utilisés soient supprimés de votre système. En outre, veillez à ce que les définitions des virus et des maliciels associées à vos logiciels antivirus et antimaliciels soient à jour en autorisant des mises à jour périodiques. Soyez à la fine pointe de la technologie, à l’instar de vos agresseurs.

10. Installez des systèmes de détection et de prévention des intrusions, et surveillez-les. Une organisation doit d’abord prévenir les intrusions et doit donc se munir de systèmes pour ce faire. Toutefois, même si vous avez les meilleures protections possible, votre système peut faire l’objet d’une atteinte. Les systèmes de détection des intrusions, les pare-feux et les registres de vérification peuvent vous permettre de repérer les atteintes à la vie privée et d’y réagir avant qu’elles ne dégénèrent, mais vous devez être attentif aux messages qu’ils vous transmettent. Veillez à ce que les mesures de protection visant à surveiller les activités du réseau ou du système soient correctement mises en œuvre et soient surveillées de manière proactive. Ne vous fiez pas uniquement aux mesures que vous avez mises en place à l’entrée. Vous devez savoir ce qui se produit à l’intérieur de vos murs.

Le Commissariat à la protection de la vie privée du Canada est là pour vous aider. Si vous avez des questions, n’hésitez pas à nous appeler au 1-800-282-1376. Pour de plus amples renseignements sur le signalement d’une atteinte ou la réponse à celle-ci ainsi, que sur les mesures que prend le Commissariat lorsqu’il est mis au courant d’une atteinte, visitez notre page Web sur les ressources relatives aux atteintes à la vie privée.

Date de modification :