Transformer le nuage en coffre-fort


Édition du 10 Avril 2024

Transformer le nuage en coffre-fort


Édition du 10 Avril 2024

Par Jean-François Venne

Jean-Philippe Racine, président et fondateur du Groupe Cyberswat, rappelle que le fardeau de la gestion au quotidien de la cybersécurité varie selon notre utilisation de l’infonuagique. (Photo: courtoisie)

CLOUD. Les organisations qui utilisent des services d’infonuagique demeurent responsables de la sécurité de leurs données. Elles doivent donc bien connaître les lois qui encadrent les renseignements personnels et les meilleures pratiques en cybersécurité.

Si aucune loi ne régit spécifiquement l’infonuagique, des législations portent sur la conservation des informations personnelles par les entreprises. Au fédéral, c’est le domaine de la Loi sur la protection des renseignements personnels et les documents électroniques (LPDRDE), adoptée en 2000. Elle définit le renseignement personnel comme toute donnée qui permet d’identifier quelqu’un d’une manière ou d’une autre.

« Cette loi exige que l’on prenne les mesures nécessaires pour protéger les renseignements personnels en fonction de leur degré de sensibilité et elle s’applique aux informations que vous confiez à un fournisseur d’hébergement en infonuagique », explique Me Charles Morgan, associé chez McCarthy Tétrault et spécialiste de la cybersécurité, de la protection des données et du droit de la technologie.

Me Morgan prévient que le projet de loi C-26, discuté actuellement à Ottawa, pourrait ajouter un niveau d’exigence supplémentaire. Des entreprises ou des services jugés critiques, comme les télécommunications, les transports, les banques ou les fournisseurs d’électricité auraient des obligations pour réduire le risque qu’un incident de cybersécurité interrompe leurs services. « Pour la première fois au Canada, les obligations en matière de cybersécurité dépasseraient la protection des données », souligne l’avocat. Cela inclurait les menaces liées à l’utilisation de l’infonuagique.

Le gouvernement du Québec a quant à lui imposé un tour de vis à la cybersécurité avec l’adoption de la Loi 25, adoptée en 2021. Celle-ci prévoit notamment l’obligation d’évaluer les facteurs de risque à la vie privée dans chaque projet d’acquisition ou de refonte de systèmes d’information (comme la transition vers l’infonuagique ou le changement de fournisseur d’infonuagique) et de prendre les mesures pour les mitiger. 

L’entreprise doit en outre évaluer le régime juridique de protection des renseignements personnels dans chaque province ou pays où ses données sont hébergées, et s’assurer que le contrat avec le fournisseur d’infonuagique protège bien les données.

« L’entreprise doit bien comprendre les mesures de sécurité du fournisseur, la manière dont celui-ci pourrait utiliser les données, qui y aura accès et surtout toujours savoir où elles se trouvent réellement », indique Me Morgan.

 

Variations de poids 

De son côté, Jean-Philippe Racine, président et fondateur du Groupe Cyberswat, rappelle que le fardeau de la gestion au quotidien de la cybersécurité varie selon notre utilisation de l’infonuagique. Dans le cas de l’infrastructure en tant que service (IAAS), l’entreprise virtualise ses serveurs physiques, mais doit tout de même s’occuper de leur cybersécurité (mises à jour, antivirus, pare-feu, etc.). Le fournisseur est responsable de leur sécurité physique. 

Dans le cas d’une entente de plateforme en tant que service (PAAS), le fournisseur se charge de la cybersécurité des serveurs, mais l’entreprise doit gérer celle des applications qu’elle exécute sur ceux-ci (mises à jour, processus d’authentification, mots de passe, etc.). 

Enfin, si on utilise un logiciel en tant que service (SAAS), le fournisseur est responsable de presque toute la cybersécurité. « L’entreprise doit se montrer particulièrement vigilante dans ces cas-là, puisqu’elle s’en remet beaucoup à son fournisseur, prévient Jean-Philippe Racine. On doit se rappeler qu’ultimement, la responsabilité reste toujours sur les épaules de l’entreprise. »

 

Bien manœuvrer

Pour éviter les ennuis, mieux vaut donc appliquer les meilleures pratiques. On doit par exemple s’assurer de détenir des sauvegardes de ses données, idéalement avec un fournisseur tiers. Miser sur l’authentification en deux étapes et gérer étroitement l’accès aux données réduit aussi les risques. « C’est une bonne idée de vérifier si on peut consulter les relevés d’accès à nos données de notre fournisseur d’infonuagique, ajoute Jean-Philippe Racine. En cas d’incident, ça permet de refaire l’historique de ces accès. » 

Il admet que pour les plus petites entreprises, examiner directement la crédibilité des mesures de sécurité promises par les fournisseurs d’infonuagique peut s’avérer complexe. Elles peuvent tout de même se fier aux audits de certaines certifications, comme ISO 27001 ou SOC 2 Type 2. 

De son côté, Me Charles Morgan rappelle que la cybersécurité constitue un risque stratégique, et pas simplement une question de TI. « Ce sujet relève du conseil d’administration et des hauts dirigeants, estime-t-il. Ils doivent prévoir des budgets adéquats pour gérer ces dangers et bien définir les rôles et responsabilités de tous les membres de l’organisation dans la protection des renseignements personnels. »

Il ajoute que la négociation du contrat avec le fournisseur d’infonuagique demeure une pierre angulaire de la protection des données. « Les normes de sécurité doivent être précises et explicites, quitte à insérer des annexes, conseille-t-il. On doit éviter les termes et les engagements qui restent vagues. »

Sur le même sujet

L’IA générative pour analyser vos données

10:30 | Maxime Johnson

TECHNO SANS ANGLES MORTS. Elle offre de nouvelles façons d’interagir avec les données de votre entreprise.

Je dois renouveler mon hypothèque: quelle stratégie adopter?

26/04/2024 | WelcomeSpaces.io

LE COURRIER DE SÉRAFIN. «L’option d’un taux fixe de 3 ans peut être un bon compromis par opposition au 5 ans fixe.»

OPINION Pas besoin d'être le meilleur pour gagner
25/04/2024 | Dominic Gagnon
Une forme émergente d'entrepreneuriat: l'innerpreneur
25/04/2024 | Michel Bundock
Comment restructurer les dettes de mon petit café et éviter la faillite?
24/04/2024 | WelcomeSpaces.io

À la une

Comptes bien-être: petite révolution dans le monde des avantages sociaux

10/04/2024 | Sophie Chartier

RÉMUNÉRATION GLOBALE. Le compte bien-être est de plus en plus offert par les employeurs.

Prêt pour la transparence salariale?

10/04/2024 | Sophie Chartier

RÉMUNÉRATION GLOBALE. Le Québec n'a toujours pas légiféré en matière de transparence salariale.

Sondage de BMO: de nombreux Canadiens attendront encore avant d'acheter une propriété

Mis à jour à 14:43 | La Presse Canadienne

Selon un sondage, 72% des répondants qui espèrent acheter une maison attendront que les coûts d'emprunt diminuent.

NOS PUBLICATIONS
Les Affaires
Abonnez-vous au journal lesaffaires
Les Affaires

Votre meilleur allié pour faire grandir votre entreprise, votre carrière et votre portefeuille. Économisez 75% sur le prix en kiosque !

Abonnez-vous La dernière publication
Les affaires plus
Abonnez-vous au journal A+
Les affaires plus

L'intelligence financière. Économisez 19% sur le prix en kiosque.

Abonnez-vous
La dernière publication
NOS SERVICES
Inscrivez-vous À notre infolettre Tenez-vous informé des dernières nouvelles, des offres spéciales et des promotions. Inscrivez-vous
Facebook Twitter Linkedin
YouTube RSS
Annoncez chez nous Contactez-nous Nos événements
Éthique journalistique Politiques d'utilisation Politiques de confidentialité Plan du site Gestion du consentement

Groupe Context Inc.

Un site de Groupe Contex Inc.
355 rue Sainte-Catherine Ouest suite 501
Montréal, QC H3B 1A5
(514) 392-2009

Tous droits réservés. Groupe Contex Inc. © 2024