Cybersécurité : Pourquoi la loi 25 est une opportunité?
« Il va sans dire que les dernières années ont été mouvementées sur l’aspect de la cybersécurité. Il ne se passe aucune semaine sans que nous entendions aux nouvelles qu’une entreprise a été attaquée et que les opérations ont été grandement ralenties ou même stoppées. Combien d’attaques surviennent sans que ce soit mentionné dans les médias? Les experts en cybersécurité sont unanimes, ce n’est que la pointe de l’Iceberg. Les dirigeants d’entreprises devraient demander à leur responsable de la sécurité combien de tentatives sont bloquées par jour. Le résultat pourra être surprenant pour plusieurs. Une seule suffit par contre pour venir brouiller les cartes ».
De nombreux exemples à l’international, comme au Québec, et non seulement dans les grandes entreprises. Les attaquants ont aussi raffiné leur approche. Ils ne se limitent désormais plus de crypter les données en échange d’une rançon, mais ils vont maintenant extraire le plus de données sensibles possible afin de menacer les entreprises de les publier sur le Dark web. Nommons BRP comme un exemple concret de ces derniers mois.
Les entreprises ne sont pas les seules à être nerveuses par rapport à leur posture de sécurité, les citoyens également sont maintenant conscients des risques de la diffusion de leurs renseignements personnels avec autrui sans leur accord préalable. Ces derniers sont maintenant appuyés par la loi 25 protégeant leurs données. Pour cela, les entreprises doivent, à partir de maintenant considérer ces données comme une information qui leur est prêtée et non comme un actif qui leur appartient.
Selon une enquête effectuée par le Pew Research, les citoyens sont majoritairement préoccupés à 79% quant à leurs renseignements personnels qui circulent et de l’utilisation qui en ait été faite. Il ne faut pas être devin pour assumer que le succès ou la chute d’une entreprise dépendra de la manière qu’elle protégera ses données et comment elle agira en cas de fuite. Les citoyens auront toujours la décision de partir, appuyés par la loi 25 avec le droit à la portabilité de leurs données.
La sécurité des données et la cybersécurité doivent faire partie de la stratégie d’entreprise en tant qu’opportunité et non comme une obligation. Les entreprises qui démontreront leur engagement et afficheront publiquement leur approche en ce sens pourront se démarquer. Non seulement la protection des renseignements personnels est obligatoire grâce à la loi 25, mais les entreprises qui le feront de manière stratégique et intégrée à leur plan d’affaires pourront se démarquer par rapport à celles qui le feront par obligation.
Connaissez-vous tous les types de données que vous gérez, leur sensibilité et la diversité dans laquelle elles existent?
Comment bien protéger les données sans être en mesure de les identifier et connaître leur cycle de vie dans l’entreprise? La multiplication des médias de données n’aide en rien. Différentes instances de bases de données, milliers de fichiers qui s’accumulent au fils dans années, courriels, ordinateurs portables, disques amovibles, plateformes infonuagiques SaaS, sauvegardes. Tant d’endroits à contrôler.
Cette loi 25 étant maintenant en vigueur, elle devient une opportunité pour mieux cartographier les données sensibles (renseignements personnels, secrets d’entreprises, données financières) dans son ensemble, maitriser les données circulant dans votre organisation et les protéger en cas de failles et même améliorer votre reprise après sinistre. En maitrisant le cycle de vie des données de l’entreprise, ces dernières pourront débuter des chantiers d’optimisation du traitement de l’information, surtout dans un contexte où l’intelligence artificielle va de soi. La valorisation des données, vous connaissez? En 2018, Statistique Canada a évalué à 200 milliards $ la valeur des données au Canada.
Conserver ses acquis et développer de nouvelles opportunités d’affaires
Plus le choix! Les entreprises doivent implanter la loi 25 sur la protection des renseignements personnels. Parmi les règles de la loi 25, le partage d’informations via des services tiers prévoit des contrôles stricts. Les organisations voudront s’assurer que leur fournisseur montre patte blanche concernant la protection des données personnelles et sensibles. Les fournisseurs de services ont intérêt à mettre leur programme en place rapidement afin d’adopter une stratégie défensive.
Au-delà de conserver les acquis, les entreprises devront réfléchir à leur stratégie d’affaires concernant la cybersécurité et la protection des renseignements personnels en adoptant une approche proactive. Ceci peut prendre plusieurs formes telles que l’adoption d’un standard de sécurité et même, une certification par une tierce partie (SOC, CIS, NIST, ISO) . Déjà, plusieurs entreprises adoptent cette voix en voyant ceci comme un investissement leur permettant d’augmenter leurs ventes et se tailler une place parmi les grands joueurs.
Les entreprises qui voudront se démarquer localement et mondialement ne peuvent plus se limiter à optimiser leurs processus opérationnels, la qualité de leurs produits et la compétitivité de coûts. Au plan international, les données des Nations Unies parlent d’elles même. 71% des pays ont adopté une loi sur la protection des données et la vie privée, et 9% sont en voie de l’adopter.
Gouvernance d’entreprise
Les obligations de la loi 25 ne doivent pas être vues comme une tâche relevant simplement d’un officier responsable de la protection des renseignements personnels ou d’une fonction des technologies de l’information. C’est un engagement impliquant tous les exécutifs et toutes les unités d’affaires de l’organisation. La loi 25 introduit un concept de « pertinence » des données, c’est-à-dire, seulement collecter les données dont l’entreprise a réellement besoin et être en mesure d’expliquer les raisons pour lesquelles les données sont essentielles.
En conformité avec la loi 25, pour chaque investissement en nouvelle fonctionnalité (application, SaaS, serveur, partenaire, fusion & acquisition), l’entreprise doit s’interroger pour comprendre les données à connotation de renseignement personnel qui seront requises et par conséquent connaître les procédures qui s’en suivront. Ceci exige que chaque partie prenante soit assise à la même table : l’unité d’affaires, le responsable de la protection des renseignements personnels, cybersécurité et analyste d’affaires. C’est donc un effort permettant de comprendre la valeur de l’investissement et de le maximiser.
Le comité de direction d’une organisation doit réfléchir à l’implication de la loi 25 et les risques de failles de sécurité. Le VP TI est souvent le responsable d’exercer cette responsabilité exécutive. Assoir à la table avec la personne ayant la responsabilité totale de la protection des données et de la cybersécurité, ayant le même niveau d’autorité, devient un élément de gouvernance prioritaire. Le comité de direction aura une vue holistique des stratégies et s’assurera que la vision et les décisions soient faites en connaissance de cause. Les exécutifs doivent voir le responsable de la protection des données et la cybersécurité comme un facilitateur d’affaires.
Les responsables de la protection des données et de la cybersécurité doivent aussi modifier leur approche, comprendre la stratégie d’entreprise, les enjeux et la vision, écouter les autres exécutifs et comprendre leurs besoins, et orienter sur la solution à une stratégie plutôt que focaliser sur les enjeux de sécurité. En partenariat entre exécutifs, mesurer la valeur d’un investissement par rapport aux bénéfices et aux risques associés. Le résultat sera donc: une décision transparente et lucide.
La loi 25 : une opportunité plutôt qu’une contrainte
Appliquer la loi 25 n’est pas un chantier simple. Bien sûr, cette complexité dépendra de plusieurs facteurs propres à la taille et le type de données gérées par l’organisation. Par contre, il y a un facteur applicable à toutes les entreprises qui fera la différence, embarquer dans ce projet comme une stratégie d’affaires. Vos opportunités sont multiples :
- Renforcer la confiance de vos clients
- Améliorer la gestion de l’entreprise
- Limiter vos risques et améliorer la protection des renseignements personnels et votre posture de sécurité
- Développer de nouveaux marchés
Malgré le fait que cette loi a été adoptée en septembre 2021 et que les premières obligations s’échelonnent sur trois grands jalons: septembre 2022, septembre 2023 et septembre 2024, plusieurs entreprises n’ont pas encore emboité le pas. Les obligations prévues pour septembre 2023 sont nombreuses et demandent de la planification. Surtout, les obligations de la loi 25 et la cybersécurité en général ne doivent pas être vues comme des jalons à respecter, mais comme une activité stratégique en continu.
Inscrivez-vous à l’infolettre Eficio et soyez le premier à recevoir notre actualité !