Jean-Philippe Racine, président et fondateur du Groupe Cyberswat, rappelle que le fardeau de la gestion au quotidien de la cybersécurité varie selon notre utilisation de l’infonuagique. (Photo: courtoisie)
CLOUD. Les organisations qui utilisent des services d’infonuagique demeurent responsables de la sécurité de leurs données. Elles doivent donc bien connaître les lois qui encadrent les renseignements personnels et les meilleures pratiques en cybersécurité.
Si aucune loi ne régit spécifiquement l’infonuagique, des législations portent sur la conservation des informations personnelles par les entreprises. Au fédéral, c’est le domaine de la Loi sur la protection des renseignements personnels et les documents électroniques (LPDRDE), adoptée en 2000. Elle définit le renseignement personnel comme toute donnée qui permet d’identifier quelqu’un d’une manière ou d’une autre.
« Cette loi exige que l’on prenne les mesures nécessaires pour protéger les renseignements personnels en fonction de leur degré de sensibilité et elle s’applique aux informations que vous confiez à un fournisseur d’hébergement en infonuagique », explique Me Charles Morgan, associé chez McCarthy Tétrault et spécialiste de la cybersécurité, de la protection des données et du droit de la technologie.
Me Morgan prévient que le projet de loi C-26, discuté actuellement à Ottawa, pourrait ajouter un niveau d’exigence supplémentaire. Des entreprises ou des services jugés critiques, comme les télécommunications, les transports, les banques ou les fournisseurs d’électricité auraient des obligations pour réduire le risque qu’un incident de cybersécurité interrompe leurs services. « Pour la première fois au Canada, les obligations en matière de cybersécurité dépasseraient la protection des données », souligne l’avocat. Cela inclurait les menaces liées à l’utilisation de l’infonuagique.
Le gouvernement du Québec a quant à lui imposé un tour de vis à la cybersécurité avec l’adoption de la Loi 25, adoptée en 2021. Celle-ci prévoit notamment l’obligation d’évaluer les facteurs de risque à la vie privée dans chaque projet d’acquisition ou de refonte de systèmes d’information (comme la transition vers l’infonuagique ou le changement de fournisseur d’infonuagique) et de prendre les mesures pour les mitiger.
L’entreprise doit en outre évaluer le régime juridique de protection des renseignements personnels dans chaque province ou pays où ses données sont hébergées, et s’assurer que le contrat avec le fournisseur d’infonuagique protège bien les données.
« L’entreprise doit bien comprendre les mesures de sécurité du fournisseur, la manière dont celui-ci pourrait utiliser les données, qui y aura accès et surtout toujours savoir où elles se trouvent réellement », indique Me Morgan.
Variations de poids
De son côté, Jean-Philippe Racine, président et fondateur du Groupe Cyberswat, rappelle que le fardeau de la gestion au quotidien de la cybersécurité varie selon notre utilisation de l’infonuagique. Dans le cas de l’infrastructure en tant que service (IAAS), l’entreprise virtualise ses serveurs physiques, mais doit tout de même s’occuper de leur cybersécurité (mises à jour, antivirus, pare-feu, etc.). Le fournisseur est responsable de leur sécurité physique.
Dans le cas d’une entente de plateforme en tant que service (PAAS), le fournisseur se charge de la cybersécurité des serveurs, mais l’entreprise doit gérer celle des applications qu’elle exécute sur ceux-ci (mises à jour, processus d’authentification, mots de passe, etc.).
Enfin, si on utilise un logiciel en tant que service (SAAS), le fournisseur est responsable de presque toute la cybersécurité. « L’entreprise doit se montrer particulièrement vigilante dans ces cas-là, puisqu’elle s’en remet beaucoup à son fournisseur, prévient Jean-Philippe Racine. On doit se rappeler qu’ultimement, la responsabilité reste toujours sur les épaules de l’entreprise. »
Bien manœuvrer
Pour éviter les ennuis, mieux vaut donc appliquer les meilleures pratiques. On doit par exemple s’assurer de détenir des sauvegardes de ses données, idéalement avec un fournisseur tiers. Miser sur l’authentification en deux étapes et gérer étroitement l’accès aux données réduit aussi les risques. « C’est une bonne idée de vérifier si on peut consulter les relevés d’accès à nos données de notre fournisseur d’infonuagique, ajoute Jean-Philippe Racine. En cas d’incident, ça permet de refaire l’historique de ces accès. »
Il admet que pour les plus petites entreprises, examiner directement la crédibilité des mesures de sécurité promises par les fournisseurs d’infonuagique peut s’avérer complexe. Elles peuvent tout de même se fier aux audits de certaines certifications, comme ISO 27001 ou SOC 2 Type 2.
De son côté, Me Charles Morgan rappelle que la cybersécurité constitue un risque stratégique, et pas simplement une question de TI. « Ce sujet relève du conseil d’administration et des hauts dirigeants, estime-t-il. Ils doivent prévoir des budgets adéquats pour gérer ces dangers et bien définir les rôles et responsabilités de tous les membres de l’organisation dans la protection des renseignements personnels. »
Il ajoute que la négociation du contrat avec le fournisseur d’infonuagique demeure une pierre angulaire de la protection des données. « Les normes de sécurité doivent être précises et explicites, quitte à insérer des annexes, conseille-t-il. On doit éviter les termes et les engagements qui restent vagues. »