21 juin 2019

Protéger votre entreprise contre les atteintes à la sécurité des données

Une atteinte à la sécurité des données peut coûter cher aux entreprises. Consultez notre site pour voir comment sécuriser les données personnelles confiées à votre entreprise.

Vous avez des questions? Vous êtes prêt à commencer?

Une intrusion de données rapporte gros aux cybercriminels. Les entreprises recueillent un large éventail de données personnelles sur leurs employés et leurs clients – une information très prisée des pirates. Selon un sondage de Statistique Canada, dans environ la moitié des incidents de cybersécurité signalés par les entreprises en 2017, les criminels avaient ciblé des zones d’accès interdit ou privilégié ou tenté de voler des données personnelles ou financières1.

Les cybercriminels sont à l'affût de renseignements personnels comme les noms, mots de passe, numéros d’assurance sociale, courriels, adresses, numéros de compte, adresses IP, etc. – qui, une fois utilisés, peuvent être vendus sur le Web invisible et permettre d’accéder à d’autres sites, comme les sites d’établissements financiers ou de commerces en ligne.

Réduisez votre risque

Siva Ram, responsable en chef de la sécurité et des fraudes, service mondial de gestion des liquidités et de trésorerie de la HSBC, propose les stratégies suivantes pour limiter le risque d’intrusion de données :

  • Évaluez les risques et détectez les problèmes à corriger. Utilisez un cadre, comme le NIST Cyber Security Framework ou le Center for Internet Security – Critical Security Controls afin de déterminer les actifs et les enjeux de sécurité.
  • Sachez quelles exigences de la loi s’appliquent à votre entreprise : restrictions transfrontalières relatives à la transmission et au partage de données, règlement général sur la protection des données (RGPD), Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) ou autres règlements. Le gouvernement du Canada propose diverses ressources pour vous aider à comprendre vos obligations en matière de confidentialité en vertu de la LPRPDE et des lois provinciales, ainsi que des lignes directrices sur la protection des données, les exigences à suivre si vous devez transmettre des renseignements personnels à l’étranger aux fins de traitement et un résumé du RGPD.
  • Définissez bien les exigences d’identification et les contrôles d’accès à mettre en place.
  • Prévoyez des dispositifs de contrôle à niveaux multiples pour vous protéger des attaques : resserrez la sécurité des serveurs, segmentez votre réseau, placez des pare-feu appropriés pour les points d'accès sans fil, ayez des logiciels à jour et installez des anti-maliciels pour le courriel et les passerelles Web.
  • Limitez au minimum l’accès aux données confidentielles. N’accordez des droits qu’au personnel qui en a réellement besoin pour faire son travail. Par exemple, interdisez les privilèges racines pour les comptes d’application et adaptez les postes afin d’éviter les privilèges superflus. Vous limiterez ainsi les dommages en cas d’intrusion.
  • Adoptez des processus qui multiplient les facteurs d’authentification et les étapes de connexion.
  • Installez des outils automatisés pour détecter immédiatement les attaques. Il en existe une panoplie. En général, il vous faudra un outil d’analyse centrale des journaux pour établir la corrélation entre les données reçues de diverses sources. Les alertes sont transmises à un centre de sécurité des opérations, qui signale les cas et intervient selon des façons de procéder très claires.
  • Rappelez constamment les cybermenaces pour que le personnel soit plus alerte à détecter les courriels d’hameçonnage ou les tentatives d’intrusion de votre système.
  • Dans votre plan d’intervention en cas d’incident, intégrez les façons de procéder à suivre pour la protection des données, la communication avec les organismes de réglementation, les clients et les autres intervenants et l’interruption partielle ou totale de vos services. Vous limiterez ainsi les dommages en cas d’incident.

Vous pouvez aussi vous protéger personnellement des conséquences d’une intrusion de données. Vous devriez au moins :

  • Varier le mot de passe que vous utilisez sur les sites en ligne où vous avez un compte.
  • Activer l’authentification à facteurs multiples, si elle est offerte.

Connaissez vos obligations liées à la protection des données

En vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), toutes les entreprises sont tenues de protéger les données personnelles en leur possession et de prévenir leurs clients et le Commissariat à la protection de la vie privée du Canada en cas d’atteinte à la sécurité. Chaque infraction à la loi est passible d’une amende qui peut atteindre 100 000 $.

Si votre entreprise fait des affaires à l’étranger, vous devez aussi vous tenir au courant des lois locales applicables. Par exemple, si vous traitez avec l’Union européenne, vous devez respecter le règlement général sur la protection des données (RGPD) quant à la façon de recueillir, utiliser et stocker les données personnelles, y compris celles qui sont hébergées hors site ou auprès de fournisseurs. De lourdes amendes sanctionnent tout manquement.

Le coût de l’intrusion des données

La législation est l’une des façons de forcer les entreprises à protéger les données personnelles, mais le prix à payer – au sens littéral et du point de vue de la réputation – pour une intrusion de données majeure est souvent bien plus élevé que les pénalités.

Selon une étude mondiale réalisée auprès de 10 000 consommateurs, 70 % des répondants cesseraient de traiter avec une entreprise si elle subissait une intrusion de données et 93 % envisageraient un recours juridique1.

L’éducation, votre meilleure arme de défense

La protection contre l’intrusion des données est une responsabilité partagée. Les erreurs individuelles – des personnes qui sont victimes de techniques d’hameçonnage par courriel toujours plus évoluées – demeurent l’une des principales causes d’intrusion. Faites donc de l’éducation une priorité dans votre entreprise pour que tous les employés demeurent vigilants et sachent détecter les cybercriminels qui utilisent les messages textes, les appels téléphoniques, les courriels d’hameçonnage et les fraudes du président.

1 https://www.cutimes.com/2017/11/29/70-of-consumers-would-stop-following-a-business-af/?slreturn=20190208145923

Dénis de responsabilité

Les renseignements fournis ne sont pas nécessairement exhaustifs et ne sauraient être interprétés comme des conseils professionnels de nature financière, juridique, fiscale ou autre. Vous ne devriez pas agir sur la foi de cette information sans avoir obtenu les conseils d’un professionnel. Le présent document a été préparé avec soin, mais la HSBC ne peut garantir, ni s’engager à déclarer (explicitement ou implicitement) que ces renseignements sont exacts et complets. Les renseignements présentés dans ce document peuvent être modifiés sans préavis.

Certains des produits et services proposés par la HSBC, ses filiales et ses sociétés affiliées sont offerts sous réserve d’une approbation de crédit. Ce document ne saurait constituer une offre de fournir les services et les produits qui y sont décrits et la prestation de ces services et produits demeure assujettie au contrat.

Publié par la Banque HSBC Canada (la «HSBC»)

Vous êtes sur le point de quitter le site de la HSBC au Canada pour les clients entreprises.

Veuillez prendre note que les politiques du site externe sont différentes de celles de notre site Web et de la politique en matière de confidentialité. Le prochain site s'ouvrira dans une nouvelle fenêtre ou dans un nouvel onglet du navigateur.

Vous quittez le site Web des services aux entreprises de la HSBC.

Veuillez noter que les politiques du site externe seront différentes des conditions et de la politique de confidentialité de notre site Web. Le prochain site s’ouvrira dans une nouvelle fenêtre de navigation ou dans un nouvel onglet.