Transformer le nuage en coffre-fort


Édition du 10 Avril 2024

Transformer le nuage en coffre-fort


Édition du 10 Avril 2024

Par Jean-François Venne

Jean-Philippe Racine, président et fondateur du Groupe Cyberswat, rappelle que le fardeau de la gestion au quotidien de la cybersécurité varie selon notre utilisation de l’infonuagique. (Photo: courtoisie)

CLOUD. Les organisations qui utilisent des services d’infonuagique demeurent responsables de la sécurité de leurs données. Elles doivent donc bien connaître les lois qui encadrent les renseignements personnels et les meilleures pratiques en cybersécurité.

Si aucune loi ne régit spécifiquement l’infonuagique, des législations portent sur la conservation des informations personnelles par les entreprises. Au fédéral, c’est le domaine de la Loi sur la protection des renseignements personnels et les documents électroniques (LPDRDE), adoptée en 2000. Elle définit le renseignement personnel comme toute donnée qui permet d’identifier quelqu’un d’une manière ou d’une autre.

« Cette loi exige que l’on prenne les mesures nécessaires pour protéger les renseignements personnels en fonction de leur degré de sensibilité et elle s’applique aux informations que vous confiez à un fournisseur d’hébergement en infonuagique », explique Me Charles Morgan, associé chez McCarthy Tétrault et spécialiste de la cybersécurité, de la protection des données et du droit de la technologie.

Me Morgan prévient que le projet de loi C-26, discuté actuellement à Ottawa, pourrait ajouter un niveau d’exigence supplémentaire. Des entreprises ou des services jugés critiques, comme les télécommunications, les transports, les banques ou les fournisseurs d’électricité auraient des obligations pour réduire le risque qu’un incident de cybersécurité interrompe leurs services. « Pour la première fois au Canada, les obligations en matière de cybersécurité dépasseraient la protection des données », souligne l’avocat. Cela inclurait les menaces liées à l’utilisation de l’infonuagique.

Le gouvernement du Québec a quant à lui imposé un tour de vis à la cybersécurité avec l’adoption de la Loi 25, adoptée en 2021. Celle-ci prévoit notamment l’obligation d’évaluer les facteurs de risque à la vie privée dans chaque projet d’acquisition ou de refonte de systèmes d’information (comme la transition vers l’infonuagique ou le changement de fournisseur d’infonuagique) et de prendre les mesures pour les mitiger. 

L’entreprise doit en outre évaluer le régime juridique de protection des renseignements personnels dans chaque province ou pays où ses données sont hébergées, et s’assurer que le contrat avec le fournisseur d’infonuagique protège bien les données.

« L’entreprise doit bien comprendre les mesures de sécurité du fournisseur, la manière dont celui-ci pourrait utiliser les données, qui y aura accès et surtout toujours savoir où elles se trouvent réellement », indique Me Morgan.

 

Variations de poids 

De son côté, Jean-Philippe Racine, président et fondateur du Groupe Cyberswat, rappelle que le fardeau de la gestion au quotidien de la cybersécurité varie selon notre utilisation de l’infonuagique. Dans le cas de l’infrastructure en tant que service (IAAS), l’entreprise virtualise ses serveurs physiques, mais doit tout de même s’occuper de leur cybersécurité (mises à jour, antivirus, pare-feu, etc.). Le fournisseur est responsable de leur sécurité physique. 

Dans le cas d’une entente de plateforme en tant que service (PAAS), le fournisseur se charge de la cybersécurité des serveurs, mais l’entreprise doit gérer celle des applications qu’elle exécute sur ceux-ci (mises à jour, processus d’authentification, mots de passe, etc.). 

Enfin, si on utilise un logiciel en tant que service (SAAS), le fournisseur est responsable de presque toute la cybersécurité. « L’entreprise doit se montrer particulièrement vigilante dans ces cas-là, puisqu’elle s’en remet beaucoup à son fournisseur, prévient Jean-Philippe Racine. On doit se rappeler qu’ultimement, la responsabilité reste toujours sur les épaules de l’entreprise. »

 

Bien manœuvrer

Pour éviter les ennuis, mieux vaut donc appliquer les meilleures pratiques. On doit par exemple s’assurer de détenir des sauvegardes de ses données, idéalement avec un fournisseur tiers. Miser sur l’authentification en deux étapes et gérer étroitement l’accès aux données réduit aussi les risques. « C’est une bonne idée de vérifier si on peut consulter les relevés d’accès à nos données de notre fournisseur d’infonuagique, ajoute Jean-Philippe Racine. En cas d’incident, ça permet de refaire l’historique de ces accès. » 

Il admet que pour les plus petites entreprises, examiner directement la crédibilité des mesures de sécurité promises par les fournisseurs d’infonuagique peut s’avérer complexe. Elles peuvent tout de même se fier aux audits de certaines certifications, comme ISO 27001 ou SOC 2 Type 2. 

De son côté, Me Charles Morgan rappelle que la cybersécurité constitue un risque stratégique, et pas simplement une question de TI. « Ce sujet relève du conseil d’administration et des hauts dirigeants, estime-t-il. Ils doivent prévoir des budgets adéquats pour gérer ces dangers et bien définir les rôles et responsabilités de tous les membres de l’organisation dans la protection des renseignements personnels. »

Il ajoute que la négociation du contrat avec le fournisseur d’infonuagique demeure une pierre angulaire de la protection des données. « Les normes de sécurité doivent être précises et explicites, quitte à insérer des annexes, conseille-t-il. On doit éviter les termes et les engagements qui restent vagues. »

Sur le même sujet

Une première édition de Perspectives numériques pour mieux comprendre les technologies

Mis à jour le 15/05/2024 | Trium Médias

Des ateliers pour optimiser l'utilisation des technologies numériques auront lieu les 4 et 5 juin prochains à Alma.

Félicitations, une start-up vous copie

12:00 | Dominic Gagnon

Découvrir qu’une autre entreprise fait la même chose que vous n'est pas négatif, bien au contraire!

OPINION Gain en capital: ce n'est qu'une question de temps?
15/05/2024 | Dany Provost
Maison au décès et taxe de bienvenue
15/05/2024 | WelcomeSpaces.io
Pourquoi dit-on que le franchisage, c'est de l'entrepreneuriat encadré?
15/05/2024 | Xavier Chambon

À la une

Bourse: Wall Street termine en baisse, essoufflée après les records

Mis à jour à 18:06 | lesaffaires.com, AFP et Presse canadienne

REVUE DES MARCHÉS. Le TSX en légère hausse, les marchés américains en baisse malgré des gains antérieurs.

À surveiller: BRP, Constellation software et Google

11:17 | lesaffaires.com

Que faire avec les titres de BRP, Constellation software et Google? Voici quelques recommandations d’analystes.

Le Dow Jones franchit pour la première fois les 40 000 points à Wall Street

12:40 | AFP

L’indice vedette de Wall Street était porté par Boeing, 3M et surtout par le géant de la distribution Walmart.

NOS PUBLICATIONS
Les Affaires
Abonnez-vous au journal lesaffaires
Les Affaires

Votre meilleur allié pour faire grandir votre entreprise, votre carrière et votre portefeuille. Économisez 75% sur le prix en kiosque !

Abonnez-vous La dernière publication
Les affaires plus
Abonnez-vous au journal A+
Les affaires plus

L'intelligence financière. Économisez 19% sur le prix en kiosque.

Abonnez-vous
La dernière publication
NOS SERVICES
Inscrivez-vous À notre infolettre Tenez-vous informé des dernières nouvelles, des offres spéciales et des promotions. Inscrivez-vous
Facebook Twitter Linkedin
YouTube RSS
Annoncez chez nous Contactez-nous Nos événements
Éthique journalistique Politiques d'utilisation Politiques de confidentialité Plan du site Gestion du consentement

Groupe Context Inc.

Un site de Groupe Contex Inc.
355 rue Sainte-Catherine Ouest suite 501
Montréal, QC H3B 1A5
(514) 392-2009

Tous droits réservés. Groupe Contex Inc. © 2024