Restez informé de nos articles les plus récents, nos activités de formation et offres d'emploi.

Infolettre Therrien Couture Joli-Coeur

Restez informé de nos articles les plus récents, nos activités de formation et offres d'emploi.

En cliquant sur « Je m'inscris », je confirme mon enregistrement à la liste d'abonnement et je consens à ce que TCJ puisse traiter mon courriel dans le but de me faire parvenir des infolettres de façon ponctuelle. Je confirme avoir lu et consenti à la Politique de confidentialité.

Écrivez-nous

En remplissant ce formulaire, vous permettez à notre équipe de saisir pleinement vos besoins et de vous offrir le service le plus adapté à vos attentes. Merci de votre confiance, nous nous engageons à vous fournir un suivi dans les plus brefs délais.

En cliquant sur « Envoyer », je confirme avoir lu et consenti à la Politique de confidentialité.

Protection de la vie privée et cybersécurité

Un plan de cybersécurité non testé ne protège que sur papier

  • Élyse Rioux
  • Dany Guimond-Valcourt
Par Élyse Rioux et Dany Guimond-Valcourt
Dimanche matin, 10 h, café en main. Vous ouvrez votre ordinateur pour jeter un coup d’œil à vos courriels. Ce n’est pas votre boîte de réception qui vous attend, c’est plutôt une note de rançon.

Toutes vos données ont été chiffrées. Vos systèmes sont paralysés. Un message vous somme de payer un montant important dans un certain délai pour obtenir la clé de déchiffrement.

Vous vous rassurez aussitôt :

-          Vous êtes conforme à la Loi sur la protection des renseignements personnels dans le secteur privé.

-          Vous avez souscrit à une assurance cybersécurité.

Tout est sous contrôle, vraiment?

Erreur.

L’article 10 de la Loi sur la protection des renseignements personnels dans le secteur privé est clair : toute entreprise doit prendre des mesures de sécurité raisonnables pour protéger les renseignements personnels qu’elle détient. Ces mesures doivent tenir compte de la sensibilité des données, de leur quantité, de leur finalité, et même, du support sur lequel elles sont conservées. Toutefois, être conforme ne signifie pas nécessairement être préparé.

La conformité à la loi est un point de départ en matière de gouvernance, pas une destination. Trop souvent, les politiques et procédures demeurent des documents juridiques statiques bien rangés dans un dossier, rarement testés, et encore moins intégrés aux réflexes de l’organisation. La cybersécurité ne repose pas uniquement sur la technologie ou sur des clauses d’assurance : elle exige une combinaison cohérente de personnes, processus et technologies.

Il est maintenant 10 h 20. Le message de rançon est toujours là. Le compte à rebours a commencé. Et pendant que vous tentez de comprendre ce qui se passe, l’attaquant, lui, sait exactement ce qu’il fait.

Vous cherchez à activer votre plan de réponse aux incidents. Mais savez-vous comment le faire? Est-il accessible? Est-il à jour? Savez-vous qui appeler? Et surtout, ces personnes sont-elles disponibles, un dimanche matin de long congé?

C’est souvent à ce moment que l’on réalise que les rôles et responsabilités n’ont pas été clairement définis. Que les personnes clés n’ont pas été formées. Que les absences, les départs et les remplacements n’ont pas été anticipés. Et que les procédures, bien qu’existantes, n’ont jamais été testées dans un contexte réel.

Vous tentez de communiquer avec votre équipe, mais vos systèmes sont inaccessibles. Votre messagerie est compromise. Vos canaux habituels ne fonctionnent plus. Avez-vous prévu un moyen de communication alternatif? Un canal sécurisé, hors bande, qui ne dépend pas de vos infrastructures internes? Et si oui, l’avez-vous testé?

Un plan de réponse aux incidents est indispensable, mais il ne peut à lui seul garantir la résilience d’une organisation. Il doit être complété par un plan de continuité des activités, conçu pour assurer le maintien, même partiel, des opérations en l’absence des systèmes critiques. Encore faut-il avoir identifié ces systèmes essentiels, compris comment fonctionner en mode dégradé, et mis en place des solutions de rechange, qu’il s’agisse d’outils alternatifs, de processus manuel ou d’équipes prêtes à intervenir dans un contexte de surcharge ou de désorganisation.

Et pendant que vous tentez de garder le cap, il faut déjà penser à la suite : le recouvrement. Avez-vous des sauvegardes valides? Sont-elles récentes? Sont-elles utilisables? Combien de temps vous faudra-t-il pour restaurer vos systèmes? Et surtout, combien de données êtes-vous prêts à perdre? Avez-vous défini vos seuils de tolérance? Vos objectifs de reprise?

Il est maintenant 11 h. Une heure s’est écoulée et vous n’avez encore rien fait, pas par négligence, mais parce que vous n’étiez pas prêts. Avoir un plan, c’est bien, mais ce n’est pas suffisant. Il faut l’avoir testé, pratiqué et communiqué, au minimum une fois par année parce que les groupes malveillants, eux, sont prêts.

Le NIST Cybersecurity Framework, une norme reconnue internationalement, recommande non seulement d’avoir un plan de réponse aux incidents, mais aussi de le tester régulièrement, de former les équipes, et de prévoir des canaux de communication alternatifs en cas de compromission. Notre équipe en vie privée et cybersécurité accompagne les organisations dans la mise en place de plans de réponse aux incidents, de continuité des activités et de gouvernance en cybersécurité.

Que ce soit pour évaluer votre niveau de préparation, former vos équipes ou transformer vos obligations légales en actions concrètes, nous sommes là pour vous aider à passer de la conformité à la résilience.

Et lorsque, malheureusement, un incident survient, nous sommes également à vos côtés pour coordonner la réponse, gérer la crise et en limiter les impacts. Cela inclut la mobilisation des parties prenantes, la documentation des événements, la notification rapide aux autorités compétentes et, lorsque requis, l’information transparente aux personnes concernées.

Parlons-en, avant que le compte à rebours ne commence.

Partager cet article
2