Protéger votre vie privée dans les activités de cyber

Protéger votre vie privée dans
les activités de cyber-sécurité:
Un aperçu du cadre
règlementaire & des conseils
utiles
28 mai, 2015
Malcolm Townsend, Analyste de
Recherche en TI
Agenda
•
•
•
•
•
Contexte
Tendances actuelles
Paysage des cyber menaces
cadre règlementaire
conseils utiles afin de protéger la vie privée
Contexte
• Les atteintes à la vie privée contiennent
souvent un élément technologique
• Quelques exemples: Sites Web,
commerce en ligne, applications, perte
d’appareil mobile, dispositif portable non
chiffrée, systèmes sans correctifs
Tendances actuelles
Verizon: Rapport d’atteinte à la
protection des données
•
•
•
•
•
Mots de passe volés – moyen le plus utilisé pour
pénétrer un systeme
23% des gens ouvrent les courriels hameçons et
11% cliquent sur les pièce jointes
La détection d’atteinte à la protection des
données prend trop de temps
Correctifs de vulnérabilités ne sont pas
installées
La plupart des logiciels malveillants sont unique
Menaces – Causes & contributions aux
atteintes à la protection des données
Mandat et Mission
• En vertu de son mandat, le Commissariat à la
protection de la vie privée du Canada (CPVP) a la
responsabilité de surveiller le respect de la
1. Loi sur la protection des renseignements personnels, laquelle
porte sur les pratiques de traitement des renseignements
personnels utilisées par les ministères et organismes fédéraux
2. Loi sur la protection des renseignements personnels et les
documents électroniques (LPRPDE), la loi fédérale sur la
protection des renseignements personnels dans le secteur privé.
• Le Commissariat à la protection de la vie privée du
Canada (CPVP) a pour mission de protéger et de
promouvoir le droit des personnes à la vie privée.
Dix Principes du Loi sur la protection des
renseignements personnels et documents
électroniques
1. Responsabilité
2. Détermination
des fins de la
collecte des
renseignements
4. Limitation de la
collecte
3. Consentement
5. Limitation de
l’utilisation, de la
communication et
de la conservation
Dix Principes du LPRPDE
6. Exactitude
7. Mesures de
sécurité
9. Accès aux
renseignements
personnels
8. Transparence
10. Possibilité de porter
plainte à l’égard du nonrespect des principes
7. Mesures de sécurité
Les renseignements
personnels doivent être
protégés au moyen de
mesures de sécurité
correspondant à leur
degré de sensibilité
Entreprise - Moyen de Protection
Gouvernance
• Gestionnaires de portefeuille, chef de la protection des renseignements
personnels, DPI, OPSI, et coordinateur de PCA travaillant ensemble pour
atteindre les objectifs de l’organisation
Formation de sensibilisation sur la protection de la vie
privée et la sécurité
• S'assurer que les employés comprennent leurs rôles et responsabilités
Programme de conformité
• Politiques et procedures
Evaluation des Risques
• Nouvelles applications, services, changement important aux applications
existantes et systèmes hérités
• Réorganisation de services
Opérationnel - Mesure de protection
Contrôles Préventifs
• Journalisation des
systèmes, cryptage,
évaluation de la
vulnérabilité, test de
pénétration, sécurité
physique, minimiser les
données
GESTION DU
CHANGEMENT, DES
VERSIONS et DES
CORRECTIFS
OUTILS
• Exemples: Pare-feu,
antivirus, IPS, système
de détection
d’intrusion (SDI)
SÉPARATION DES
PRIVILÈGES
• Information sensible
• Basé sur les rôles, les
responsabilités
POINT DE CONTRÔLES sur
Securite et protection de
la vie privee
(Cycle de développement
(logiciel))
SÉPARATION DES
TÂCHES
Facteurs clés qui devraient signaler un
niveau de risque plus élevé d’atteinte à la
vie privée
Universel
• Organisations dans les
secteurs où les mêmes
infractions ont été signalées
• Vulnérabilités exploitées
dans des progiciels ,
applications ou outils utilisés
par l'organisation, rapporté
dans les nouvelles
organisationnel
• Les rapports de balayage /
logging signalent un
changement soudain
• Les personnes – vecteur de
menace
• Fusions et acquisitions
• Accroissement soudain du
roulement du personnel
• Licenciements prévus
• Essor économique
Comment se préparer à une atteinte à la
vie privée
• Vous avez besoin d’un plan d’intervention en
cas d’atteinte
• Penser à votre équipe (interne ou externe) et
son chef
• Former votre personnel
• Politique de conservation et élimination des
renseignements personnels
• Examiner la politique de sécurité
• Connaître la loi
En résumé
• Comprendre l’implication des lois, règlements et
instruments de politique qui s’appliquent à votre
organisation
• Tenir en compte les besoins reliés a la protection de
la vie privée et à la sécurité pendant toute la durée
du cycle de vie de l’information et des systèmes
• Importance de la conformité aux normes applicables
• Vérifier que vos contrôles rencontrent leurs objectifs
• Préparer vous à une atteinte à la vie privée
Resources CPVP:
• Trousse d’outils en matière de vie privée: Guide à
l'intention des entreprises et des organisations
• Un programme de gestion de la protection de la vie
privée : la clé de la responsabilité
• Dix conseils pour réduire le risque d’atteinte à la vie
privée
• Protéger les renseignements personnels : Un outil
d’auto-évaluation à l’intention des organisations
• Principales étapes à suivre par les organisations en
cas d'atteintes à la vie privée
www.priv.gc.ca
@privacyprivee
1-800-282-1376