Sécurité électronique : pas que de l'électronique ! - Chaire en droit de la sécurité et des affaires électroniques

« octobre 2006 »
lun	mar	mer	jeu	ven	sam	dim
						1
2	3	4	5	6	7	8
9	10	11	12	13	14	15
16	17	18	19	20	21	22
23	24	25	26	27	28	29
30	31

Sécurité électronique : pas que de l’électronique !

par Vincent Gautraisvendredi 27 octobre 2006 posté dans Sécurité RSS

Nous avons déjà signalé il y a quelques jours que la sécurité informatique était un processus, comme disait Bruce Schneier ; un processus qui n’est pas qu’électronique, qui n’est SURTOUT pas que technologique ; un processus qui demande plus que l’introduction d’outils. En fait, la partie la plus visible de la sécurité informatique, correspondant à l’entrée de données confidentielles dans un formulaire en ligne n’est sans doute pas la partie la plus importante et sans doute pas [1] celle qui est la plus susceptible de vol d’identitié. Très souvent, le vol d’identité provient d’une mauvaise gestion physique des informations conservées.

Les exemples pullulent. Ce peut être l’ordinateur portable qui est perdu ou volé par un employé Hydro-Québec, avec dedans les modalités de sécurité des grands barrages ; tout récemment, l’ordinateur perdu par une infirmière d’un hopital du Minnesota avec les numéros d’assurance sociale de milliers de patients ; même perte d’un portable contenant les coordonnées de 28,5 millions d’anciens combattants américains. Et tellement d’autres. Même si les vols s’intéressent souvent plus à la machine (hardware) plutôt qu’aux informations, le risque est réel.

Ce peut être aussi, et c’est encore plus choquant, les ordinateurs qui sont mis à la poubelle par des banques ou autres institutions sans que ceux-ci ne soient expurgés de leur contenu informationnel.

Rappelons que juridiquement il existe une obligation légale de conserver l’intégrité et la confidentialité de certains documents. Au Québec, il y a, parmi bien d’autres lois :

1) La Loi concernant le cadre juridique des technologies de l’information qui dispose à l’article 34 :

« 34. Lorsque la loi déclare confidentiels des renseignements que comporte un document, leur confidentialité doit être protégée par un moyen approprié au mode de transmission, y compris sur des réseaux de communication.

La documentation expliquant le mode de transmission convenu, incluant les moyens pris pour assurer la confidentialité du document transmis, doit être disponible pour production en preuve, le cas échéant. »

2) La Loi sur la protection des renseignements personnels dans le secteur privé, à l’article :

« 10. Toute personne qui exploite une entreprise doit prendre les mesures de sécurité propres à assurer la protection des renseignements personnels collectés, utilisés, communiqués, conservés ou détruits et qui sont raisonnables compte tenu, notamment, de leur sensibilité, de la finalité de leur utilisation, de leur quantité, de leur répartition et de leur support. »

3) La Loi sur l’accès et la protection des renseignements personnels dans le secteur public, à l’article :

« 63.1. Un organisme public doit prendre les mesures de sécurité propres à assurer la protection des renseignements personnels collectés, utilisés, communiqués, conservés ou détruits et qui sont raisonnables compte tenu, notamment, de leur sensibilité, de la finalité de leur utilisation, de leur quantité, de leur répartition et de leur support. »

Or, cette sécurité se doit d’être maintenue durant tout le cycle de vie du document confidentiel concerné.

Encore une fois, et pour revenir sur la solution proposée par la Commissaire à la vie privée de l’Ontario, à quoi sert de protéger l’accès si on ne sait pas ce qui est fait, derrière, par les gestionnaires des renseignements personnels. D’où l’appel à la transparence de propositions d’industrie Canada « Working Together to Prevent Identity Theft », qui semblent un peu trop rapidement oubliées.

[1] Même si on nage dans le flou à cet égard.

Recommander cet article

envoyer par courriel

Commentaires

1. dimanche 29 octobre 2006 par Vincent Côté

Sécurité électronique : pas que de l’électronique !
Vous souligner que certaines institutions jettent à la poubelle des ordinateurs sans même s’assurer d’en avoir vidé le contenu. Comment est-ce possible ? Il s’agit d’une négligence grossière de la part des institutions. Avez-vous des exemples de pareilles pratiques ?

2. lundi 30 octobre 2006 par Ahmed Gourram :: Vincent GAUTRAIS, "Les aspects relatifs à la sécurité"

Sécurité électronique : pas que de l’électronique !

J’ai déjà entendu plusieurs exemples réels, même ici Québec. Je ne vais pas citer les noms pour divers raisons. Le problème est que, les responsables effacent souvent le contenu de leurs disques dur avec des outils moins fiables ou à la limite, avec celui offert de base par le système d’exploitation comme Windows. En réalité, les données ne sont pas physiquement supprimées, et n’importe qui pourra les récupéré avec l’aide de certains logiciel très sophistiqué. On remarque ici que la procédure est bien respectée : la suppression des données. Par contre, l’outil utilisé n’est pas le bon. Il y a donc une incohérence dans la mise en place de la méthode de la gestion des sécurités.

Cet article de M. Gautrais explique bien la methode à suivre pour protéger ses données

3. lundi 30 octobre 2006 par Matthew Jackson

Sécurité électronique : pas que de l’électronique !

L’exemple de l’hôpital en Minnesota par rapport à la perte de données censées être protégées n’est même pas malheureusement le plus important exemple d’irresponsabilité en ce qui concerne la protection des données importantes. Le site suivant donne un bref survol des incidents au cours des dernières années de ce type aux États : http://www.cybercrime.gov/cccases.html

Malgré la présence de la sanction dans la loi fédérale et étatique aux États, (soit emprisonnement ou des amendes assez sévères) il y a un manque de prévention assez marquante ainsi qu’un manque de sensibilisation chez les employés qui sont chargés de protéger ces données. Au lieu de faire recours à la sanction, je constate que le fait d’incorporer des processus et procédures dans le travail desdits individus mentionnés ci haut est essentiel pour but de mieux protéger les données importantes. La dépendence des entreprises et ministères gouvernementaux sur la technologie jumelée avec l’irresponsabilité au niveau des employés qui s’agissent souvent sans qu’il y ait une procédure ou processus en place pour les diriger continue d’entraîner de conséquences graves comme les pertes mentionnées ci haut.

4. lundi 30 octobre 2006 par Simon-Pierre Tardif

Sécurité électronique : pas que de l’électronique !
Un autre bel exemple que : « la sécurité électronique n’est pas que de l’électronique » est de constater comment les compagnies d’assurance ont rapidement capitalisé sur cette nouvelle réalité pour offrir des polices contre le vol d’identité Ils n’en ratent pas une ! La sécurité informatique, il faut se rappeler que c’est aussi une histoire de gros sous. Encore beaucoup d’opportunités à venir dans ce domaine...

5. mardi 31 octobre 2006 par Annie Poitras

Sécurité électronique : pas que de l’électronique !

Le vol d’identité, la fraude, l’utilisation d’espiogiciel (spyware) accentuent les risques des internautes. Il est vrai que la protection technologique apporte sûrement une barrière préventive efficiente mais il est futile de compter sur elle seule. Même si l’industrie de la sécurité de l’information a connu une effervescence ces dernières années, elle ne peut pas répondre à la demande en temps réel à cause du nombre de vulnérabilités des systèmes et l’exposition à un nombre croissant d’adversaires potentiels et toujours innovante sur l’Internet. Même si ces outils existent l’être humain a son rôle à jouer.

Tel que cité par Jacques Bergeron, professeur aux HEC : « C’est une responsabilité qui relève de la haute direction, qui demande une sensibilisation et des efforts soutenus ». Après tout, les entreprises sont les plus grands bénéficiaires de l’automatisation internationale du commerce et elle ne sera sécuritaire que si les organisations et individus agissent avec éthique et responsabilité en tout temps.

6. mardi 31 octobre 2006

Sécurité électronique : pas que de l’électronique !

Enfin on arrive à décomposer la sécurité. Le vol d’identité est bel et bien relié à la sécurité de l’information qui n’englobe pas toute la sécurité informatique. La sécurité de l’information commence à la collecte de données jusqu’à leur destruction.

Il est clair que l’être humain a son rôle à jouer et plus particulièrement les décideurs dans les entreprises. C’est à eux qu’on peut reprocher la violation des lois, pas aux machines. La machine obéït aux règles que vous lui établissez et de votre côté vous devez vous conformer aux lois établis pour vous par le Droit.

Si je m’arrête aux décideurs, je crois qu’ils sont de bonne foi dans une certaine limite mais inconscients des enjeux. C’est une question économique avant tout, un calcul d’avantages-coûts. L’implantation de la sécurité coûte cher et même très cher. De plus il est très difficile d’en évaluer les bénéfices. Que voulez-vous, certains préfèrent encore prendre le risque car la pression d’augmenter leur chiffre d’affaire est de plus en plus grande. Pourquoi régler le problème de vol d’identité avant qu’il ne se présente ? Économisons !

Les outils abondent et continuent à évoluer. Qu’en est-il de la gestion des risques ? Est-ce que les gestionnaires sont conscients des risques du vol d’identité qui va affecter d’abord les consommateurs ? Je ne crois pas.

C’est vrai qu’au Québec on a un manque à gagner. L’Europe est en effet beaucoup plus en avance en matière de sécurité de l’information et donc en matière de certification par des organismes reconnus. ISO par les normes 27001 et 17799 exposent un cadre de gestion de la sécurité d’information. Clairement, il faut déterminer la politique de sécurité, l’organiser et s’y conformer. Chez nous le CRIM a mis sur pied l’Institut de sécurité de l’information du Québec (ISIQ).

Faut-il encore admettre que la sécurité de l’information est une spécialité en soi qui nécessite entre autre la connaissance des normes, des lois et biensûr du Droit. Certaines entreprises l’ont compris et ont engagé un Chief Information Security Officer. Il reste aux décideurs d’entreprise de s’informer et de se former avant de mettre en place ce qu’on appelle la Technologie.

7. mardi 31 octobre 2006 par Naima Abaâkil

Sécurité électronique : pas que de l’électronique !
Ce dernier commentaire "enfin on arrive à... " venait de moi. J’avais omis de mettre mon nom.

8. jeudi 9 novembre 2006 par Vincent Gautrais :: http://www.gautrais.com

Sécurité électronique : pas que de l’électronique !
Voici un autre exemple, en Alberta, de laptop volé. Un de plus.

9. mardi 9 novembre 2010 par choisir

Sécurité électronique : pas que de l’électronique !

Désormais la question des informations privées est très d’actualité, notamment dans le cadre de réseaux sociaux comme facebook, ou encore de plateforme comme Google qui ne veulent rien entendre aux chartes en vigueur. Bientôt nos infos privées devraient avoir une durée de vie limitée...

Laura, responsable éditoriale du site Choisir

Chaire en droit de la sécurité et des affaires électroniques

Calendrier

Catégories

Archives

Derniers commentaires

Quoi de neuf sur le site !

Mes RSS Préférés

Sécurité électronique : pas que de l’électronique !

Recommander cet article

Commentaires

Ajouter un commentaire

Chaire en droit de la sécurité et des affaires électroniques

Calendrier

Catégories

Archives

Derniers commentaires

affiliations

Quoi de neuf sur le site !

Mes RSS Préférés

Sécurité électronique : pas que de l’électronique !

Recommander cet article

Commentaires

Ajouter un commentaire