Untitled Quiz

Questions and Answers

Qu'est-ce qui définit une vulnérabilité dans un système?

• Un renforcement des protections existantes.
• Une incapacité totale à résister aux menaces.
• Un avantage stratégique contre les menaces.
• Une faiblesse entraînant une incapacité partielle face aux menaces. (correct)

Quel type de mesure de sécurité concerne la protection physique des éléments?

• Mesures opérationnelles.
• Mesures administratives.
• Mesures physiques. (correct)
• Mesures techniques.

Quelle formule est utilisée pour évaluer les risques?

• Risques × Faiblesses.
• Menace × Impact.
• Vulnérabilité × Gravité.
• Probabilité × Gravité. (correct)

Quel est un exemple de mesure technique de sécurité?

Logiciels antivirus. (D)

Qui est responsable de la mise en œuvre des mesures administratives en matière de sécurité?

Gestionnaires et responsables de l'organisation. (A)

Quelle mesure administrative aide à vérifier l'historique des employés?

Vérifications d'antécédents. (D)

Quel aspect des mesures de sécurité concerne l'utilisation de SSL et de mots de passe?

Mesures techniques. (C)

Quelles sont les mesures de sécurité recommandées pour protéger les renseignements personnels?

Restreindre l'accès aux bureaux (C), Évaluer les facteurs relatifs à la vie privée (B)

Quel est le critère de protection des renseignements personnels selon LPRPDÉ?

Valeur de l'actif à protéger (C)

Quels types de mesures sont mentionnées pour la protection des renseignements personnels?

Mesures administratives et techniques (D)

Lors de la collecte de renseignements personnels, quel professionnel doit être consulté?

Le responsable de la protection des renseignements personnels (D)

Quelle forme doit prendre la communication des renseignements personnels informatisés à la personne concernée?

Format technologique structuré et couramment utilisé (A)

Les renseignements plus sensibles doivent être protégés de quelle manière?

Avec un niveau de sécurité plus élevé (A)

Quelles peuvent être les conséquences de ne pas évaluer les risques avant un projet?

Risque juridique (D)

Quel type d'accès devrait être mis en place pour protéger les renseignements personnels?

Accès sélectif selon les autorisations (D)

Quel niveau d'infrastructure de site exige des chemins de distribution multiples indépendants ?

Tier 3 (C)

Pour le niveau 4, quel type de matériel de refroidissement est requis ?

Matériel de refroidissement indépendant et double alimenté (B)

Quel est l'objectif principal de la responsabilité mentionnée dans l'article 1457 du CcQ ?

Ne pas causer de préjudice à autrui (C)

Quelle caractéristique définit une infrastructure de site au niveau 3 ?

Équipements entièrement compatibles avec l'architecture du site (A)

Quel est le devoir principal défini dans l'article 1458 du CcQ ?

Honorer les engagements contractés (A)

Quel est l'objectif d'une infrastructure de site de niveau 4 ?

Assurer un fonctionnement sans interruption (C)

Quelle est la principale caractéristique d'une infrastructure de site au niveau 1 ?

Infrastructure de site basique (D)

Quel est le rôle principal de la signature numérique d'un notaire ?

Elle atteste le caractère authentique d'un acte. (B)

Que doit éviter un pharmacien selon l'article 56 du Code de déontologie ?

De divulguer sa signature numérique. (C)

Quelle conséquence pourrait résulter du fait qu'un notaire permette à son adjointe d'utiliser sa signature numérique ?

Cela pourrait justifier une radiation. (A)

Quel est le danger principal lié à la divulgation d'un code de signature numérique par un pharmacien ?

Permettre des infractions. (B)

Comment les responsabilités sont-elles partagées lors de fraudes en ligne selon les conventions de compte ?

Entre le client et l'institution financière. (D)

Selon Marc Lemieux, quelle est la situation légale au Canada concernant la protection des victimes de fraudes en ligne ?

Il n'y a pas de lois encadrant cela. (C)

Quelle affirmation est vraie concernant la réglementation des transactions bancaires électroniques au Royaume-Uni ?

Une autorité réglemente ces transactions. (D)

Quelles infractions sont associées à l'utilisation non autorisée de la signature numérique d'un notaire ?

Infraction particulière avec sanctions possibles. (B)

Quelle affirmation concernant les mesures raisonnables est correcte ?

Un professionnel qui suit la pratique de ses pairs n’a pas nécessairement agi avec diligence. (B)

Qu’est-ce qu’un cybersystème essentiel selon le projet de loi C-26 ?

Tout cybersystème dont la compromission pourrait menacer un service critique. (A)

Quelle est l'une des composantes de la gestion de la sécurité et de la continuité ?

Gestion des relations avec les fournisseurs. (B)

Comment les codes de conduite professionnels influencent-ils la perception des mesures raisonnables ?

Ils peuvent renforcer l'argument en faveur de la diligence. (B)

Quelles sont les implications d'une atteinte à la sécurité des renseignements personnels ?

Cela peut compromettre la confidentialité et l’intégrité des données. (C)

Quel est un des aspects importants de la gouvernance en matière de sécurité ?

Développement continu des stratégies de sécurité. (B)

Quelle composante ne fait pas partie de la politique de sécurité selon le modèle de sécurité mentionné ?

Politique de communication sociale. (C)

Quel rôle joue la réglementation dans la gestion des incidents de sécurité ?

Elle peut imposer des exigences qui guident la réponse aux incidents. (C)

Quels éléments doivent être pris en compte lors de la gestion des renseignements?

Les mesures de protection existantes (A), La sensibilité du renseignement (C)

Quel article de la LPRPDÉ stipule la nécessité de notification en cas de brèche?

Article 10.1 (C)

Quels peuvent être les destinataires de la notification en cas de brèche selon la LPRPDÉ?

Le Commissariat à la protection de la vie privée (C)

Quel type de données est généralement considéré comme confidentiel?

Les secrets de fabrication (C)

Quelle est la sanction maximale pour une infraction à la LPRPDÉ?

Une amende de 100 000$ (C)

Qu'implique la non-détection d'un incident de sécurité?

Cela peut indiquer une culture de sécurité déficiente (D)

Quels sont les critères pour qu'une information soit considérée comme confidentielle?

Elle ne doit pas être facilement reconstituable (C)

Quelles sont les mesures imposées par la LPRPSP lors d'une brèche?

Une sanction administrative pécuniaire de 10M$ ou 2% du chiffre d'affaires (C)

Flashcards

Vulnérabilité

Faiblesse d'un système qui l'empêche de résister aux menaces.

Contre-mesure

Mesure pour réduire les risques en diminuant les faiblesses, les menaces ou leur vulnérabilité.

Probabilité × Gravité

Calcul pour évaluer un risque : multiplication de la probabilité d'un événement par son impact.

Mesures techniques

Méthodes technologiques de sécurisation.

Mesures physiques

Méthodes physiques de sécurisation.

Mesures administratives

Méthodes organisationnelles et de gestion de la sécurité.

Types de mesures de sécurité

Différentes méthodes pour renforcer la sécurité d'un système.

Sauvegardes

Méthodes pour protéger les données contre la perte.

Niveaux de sécurité Tier

Classifient les centres de données selon leurs niveaux de redondance et disponibilité.

Tier 1

Centre de données avec une seule voie de distribution et une capacité non redondante, avec une disponibilité de 99.671%.

Tier 2

Infrastructure redondante avec une disponibilité de 99.741%.

Tier 3

Infrastructure redondante avec des chemins de distribution multiples. L'équipement informatique doit être double alimentation et compatible avec l'architecture du site.

Tier 4

Infrastructure hautement redondante avec systèmes de stockage et distribution d'énergie électrique, avec une disponibilité de 99.995%.

Sécurité de l'information - sources législatives

Lois et réglementations relatives à la sécurité des données.

1457 CcQ

Toute personne a le devoir de ne pas préjudicier autrui et est responsable des préjudices causés par faute.

1458 CcQ

Toute personne a le devoir d'honorer les engagements contractés.

Protection des RP

Des mesures doivent être prises pour protéger les renseignements personnels contre la perte, le vol, l'accès, la modification, la communication ou la copie non autorisée.

Degré de sensibilité

Le niveau de protection nécessaire pour les renseignements personnels varie en fonction de leur importance et de leur nature.

Mesures de protection

Différentes méthodes existent pour protéger les renseignements personnels, incluant des moyens physiques, administratifs et techniques.

Sensibilisation du personnel

Il est important de sensibiliser le personnel à l'importance de la confidentialité des renseignements personnels.

Évaluation des facteurs relatifs à la vie privée (EFVP)

Une évaluation systématique doit être effectuée pour tout système d'information ou prestation électronique de services impliquant des renseignements personnels, avant sa mise en œuvre.

Responsable de la protection des renseignements personnels

Une personne dédiée est responsable de la sécurité des renseignements personnels et doit être consultée dès le début de tout nouveau projet.

Format technologique structuré et couramment utilisé

Les personnes doivent avoir accès à leurs renseignements personnels dans un format accessible et compréhensible.

Évaluation des facteurs relatifs à la vie privée (EFVP) (2)

Avant de partager des renseignements personnels à l'extérieur du Québec, une évaluation des facteurs relatifs à la vie privée est obligatoire.

Signature numérique

Un moyen électronique d'authentifier un document en utilisant une clé privée pour créer un code unique, confirmant l'identité du signataire et l'intégrité du document.

Clé privée

Un code secret personnel utilisé pour créer une signature numérique et qui reste confidentielle. Ce code ne doit jamais être divulgué.

Fraude en ligne

Quand des individus s'approprient illégalement votre identité numérique pour accéder à vos comptes bancaires ou voler de l'argent.

Responsabilité en ligne

Qui est responsable des pertes dues à une fraude en ligne, le client ou la banque? Les termes des contrats bancaires définissent les responsabilités.

Conventions de compte

Des clauses contractuelles détaillant les droits et obligations du client et de la banque, notamment en cas de fraude.

Législation sur la fraude en ligne

Au Canada, il n'existe pas de loi spécifique pour protéger les victimes de fraudes en ligne. Les contrats sont une forme de protection.

Contrôle de l'utilisation de la clé privée

Il est primordial de garder le contrôle exclusif de votre clé privée pour éviter que d'autres personnes ne puissent signer des documents en votre nom.

Obligation de discrétion

Les professionnels comme les pharmaciens ne doivent pas divulguer leur code de signature numérique à quiconque pour éviter la fraude et protéger le public.

Sensibilité du renseignement

Le niveau de confidentialité et d'impact potentiel d'un renseignement. Il dépend de la nature du renseignement et de son utilisation.

Finalité de l'utilisation

Le but pour lequel le renseignement est collecté et traité. Détermine l'adéquation des mesures de protection.

Notification d'une brèche

Obligation d'informer les personnes concernées et les autorités compétentes en cas de violation de données.

Documentation des brèches

Tenue d'un registre des incidents de sécurité et des mesures prises pour y remédier.

Renseignement confidentiel

Information dont la divulgation peut causer un préjudice à celui qui la détient. (Non accessible au public, non facilement reconstituable)

Confidentialité des renseignements

Obligation de protéger les renseignements personnels contre l'accès non autorisé, la divulgation ou l'utilisation.

Raisonnabilité des mesures de protection

Les mesures de protection doivent être proportionnées au risque associé au renseignement. Conforme à l'objectif de la protection et de la sécurité.

Mesures raisonnables

Des actions que toute personne prudente prendrait dans les circonstances pour protéger les renseignements personnels.

Standards de l'industrie

Les pratiques courantes et les meilleures pratiques utilisées par les entreprises dans le même secteur pour protéger les renseignements personnels.

Loi sur la protection des cybersystèmes essentiels (C-26)

Une loi canadienne visant à protéger les systèmes informatiques critiques contre les cybermenaces.

Cybersystème essentiel

Un système informatique dont le dysfonctionnement pourrait avoir un impact grave sur la sécurité nationale ou économique.

Gouvernance de la sécurité

L'ensemble des politiques, des processus et des structures en place pour garantir la sécurité des informations.

Politiques de sécurité

Des documents qui définissent les règles et les procédures à suivre pour protéger les renseignements personnels.

Gestion de la sécurité et de la continuité

Des processus pour gérer les risques de sécurité et garantir la disponibilité des systèmes en cas d'incident.

Gestion des incidents

Un processus pour gérer les événements de sécurité et restaurer les systèmes après une attaque.

Study Notes

Présentation Droit + Sécurité de l'information

• Date de la séance : 10 octobre 2024
• Sujet : Internet et la responsabilité civile
• Numéro du cours : #CY240
• Présentateur : François Senécal
• Adresse courriel : [email protected]
• Site internet : POLYMTL.CA

Ordre du jour

• Introduction
• Sécurité de l'information
• Sources législatives
• Gouvernance et politique de sécurité

Introduction...

• La présentation aborde le sujet de la sécurité de l'information.
• Contrôle de l'information :
  • Preuve
  • Souveraineté sur les données
  • Propriété intellectuelle
  • Information personnelle confidentielle

Pourquoi protéger l’information ?

• Conformité légale
• Information comme témoignage des activités de l'organisation
  • Base décisionnelle
  • Valeur de preuve
• Information comme actif de l'organisation
  • De plus en plus générateur de valeur
  • Ne plus être seulement un sous-produit d'une activité économique principale

Actions du FTC contre Marriott et Starwood

• Marriott a accepté de payer une amende de 52 millions de dollars aux États-Unis et au District de Columbia pour des problèmes de sécurité de données.
• Le FTC a poursuivi Marriott et Starwood pour avoir trompé les consommateurs en leur faisant croire qu'ils avaient des pratiques de sécurité informatique raisonnables et appropriées.
• Le FTC a allégué que les entreprises n'avaient pas mis en place de mesures de sécurité appropriées pour protéger les renseignements personnels, notamment en ce qui a trait au contrôle des mots de passe, aux contrôles d'accès, aux logiciels pare-feu, à la mise à jour du logiciel et des systèmes, à la surveillance, et à l'authentification multifacteurs.

Quoi protéger – Caractères de l'information

• Disponibilité
• Intégrité
• Confidentialité
• Valeur de l'information

Qu'est-ce que la sécurité de l'information ?

• Protection des ressources d'une organisation contre des risques définis.
• Ensemble de mesures pour s'assurer de la confidentialité, de l'intégrité et de la disponibilité de l'information traitée.

Gestion des risques

• Activités pour identifier, définir et mettre en place des mesures préventives pour supprimer ou atténuer les conséquences d'un risque.
• Stratégies : atténuer, accepter, déplacer, assurer le risque.

Quelques exemples de risques

• Dommages physiques (incendie, inondation, vandalisme)
• Interactions humaines (actions/inactions accidentelles ou intentionnelles)
• Défaillances techniques (échecs de systèmes informatiques, périphériques)
• Attaques internes/externes (hameçonnage, pirates)
• Abus des données (vol, fraude, espionnage)
• Perte de données (destruction intentionnelle/non intentionnelle)
• Erreurs logicielles
• Interférences étatiques

Définition du rôle du responsable de la sécurité de l'information

• Connaissances métier et compétences relationnelles
• Rôle indépendant dans la gestion des risques ou de la conformité.
• Communication et implication dans la prise de conscience, la communication et l'investissement en matière de sécurité de l'information.

Risque – Autre définition

• Probabilité qu'une menace exploite une vulnérabilité avant qu'une contre-mesure soit mise en place.

Menaces

• Humaines (pirates, employés)
• Naturelles (tremblements de terre, inondations)
• Techniques (erreurs logicielles)
• Physiques (panne de courant)

Vulnérabilités

• Faiblesse d'un système pour faire face aux menaces informatiques.
• Catégories : techniques, physiques, opérationnelles, liées à la gestion du personnel.

Contre-mesures

• Mesures pour réduire les risques.
• Réduire l'importance des menaces ou la vulnérabilité à ces menaces.
• Calcul : Probabilité x Gravité (impact).

Types de mesures de sécurité

• Techniques
  • SSL
  • Certificats
  • Pare-feu
  • Logiciels antivirus
  • Cryptographie
  • NIP
  • Mots de passe
  • Authentification à deux facteurs
• Physiques
  • Agents de sécurité
  • Clôtures
  • CCTV
  • Gicleurs d'incendie
  • Aménagement paysager
• Administratives
  • Ententes de confidentialité
  • Contrôles
  • Audits
  • Sensibilisation
  • Procédures d'authentification
  • Formation
  • Vérifications d'antécédents

Sécurité physique et centres de données

• Exemples de niveaux d'infrastructures de sécurité physique.

Gouvernance et politiques de sécurité

• Structure et principes de gouvernance.
• Processus et responsabilités liés à la sécurité, le contrôle et la conformité.
• Ex: politiques de sécurité KPN.

Sources législatives de l'obligation de sécurité

• Droit civil
  • Protection des droits
  • Obligations de confidentialité
  • Souveraineté sur les données
  • Limites aux moyens de protection raisonnables

Régime de base

• Code civil du Québec (article 1457 et 1458)
  • Respect des règles de conduite
  • Responsabilité des dommages causés
  • Respect des engagements contractés

Définition : sécurité de l'information

• 26 LCCJTI: Obligation du prestataire de services d'assurer la sécurité, l'intégrité et la confidentialité des documents et de limiter l'accès aux personnes non habilitées.

Définition : sécurité de l'information (suite)

• 25 LCCJTI : Obligations de prendre les mesures de sécurité nécessaires pour assurer la confidentialité des documents technologiques.
• Ex. : Mots de passe en clair.

PKI et sécurité de la clé privée

• Importance de la signature numérique des notaires
• Exigences pour la sécurité de la clé privée et pour la protection du public, dans les cas de violation de la sécurité ou de divulgation par des tiers.

Où réside la responsabilité?

• Absence de loi canadienne spécifique pour la protection des victimes de fraude en ligne.
• Rôle des conventions de compte pour partager les responsabilités entre les clients et les institutions financières.
• Exemples du Royaume-Uni.
• Critiques de l'approche du Royaume-Uni.

Protection des RP (droits de confidentialité)

• Détail sur les types d'informations protégées dans les droits de confidentialité.

Environnement législatif en évolution

• Projets de lois (64 et C-27)

Loi sur la protection des renseignements personnels

• Obligations des entreprises d'avoir des mesures de sécurité appropriées pour les renseignements personnels collectés, utilisés, communiqués, conservés ou détruits compte tenu principalement de :
  • La sensibilité des renseignements
  • La finalité de leur utilisation
  • Leur quantité
  • Leur répartition, leur support

Loi sur la protection des renseignements personnels et les documents électroniques (annexes)

• Renseignements personnels doivent être protégés au moyen de mesures de sécurité adéquates en fonction de leur degré de sensibilité par les entreprises.

LPRPDÉ (PIPEDA en anglais)

• Définition des mesures de sécurité appropriées pour les renseignements personnels : perte, vol, consultation, communication, copie et modification non autorisée.
• Dépend du degré de sensibilité.
• Méthodes de protection : matérielles, administratives et techniques

Contrôles d'accès physiques

• Règlements d'urbanisme (limites aux clôtures)
• Code du bâtiment (présence de parcours sans obstacles, verrouillage électromagnétique)
• Limites légales à l'utilisation des caméras de surveillance.

Contrôles biométriques

• 43 et 44 LCCJTI: Limitation de l'utilisation des contrôles biométriques sans consentement.
• 45 LCCJTI: Obligations de divulgation préalables à la mise en place d'un système des données biométriques.

Contrôles biométriques (suite)

• Loi pour la protection de la santé des personnes et la sécurité publique.
• Justification pour l'obligation d'explication à la mise en oeuvre des dispositifs biométriques.

Code criminel

• Contraintes légales imposées par le droit pénal.
• Exemples: Lois sur les armes à feu et sur les dispositifs émettant des radiations.

Confidentialité et responsabilité : raisonnabilité

• Détail de l'application des lois et limites sur la protection.

Code civil du Québec

• Article 1457 : obligation de respecter les règles de conduite et de ne pas causer de préjudice à autrui.
• Responsabilité des dommages causés par une faute.

Intensité de l'obligation

• Mesures de sécurité doivent correspondre au degré de sensibilité des renseignements.
• Méthodes de protection : matériel, administratif et technique.
• Obligation des moyens renforcés

Mesures raisonnables

• Méthodes de protection : matérielles, administratives, techniques (ex: verrouillage des classeurs, mots de passe).
• Respect des pratiques des pairs comme preuves de diligence et de raisonnabilité.
• Exemple de jurisprudence (Roberge c. Bolduc).

Mesures raisonnables et standards de l'industrie

• Mention des standards d'industrie (CISSP, ISO, IETF, AICPA, SOC 2).

Évolution du cadre juridique

• Projet de loi C-26 sur la protection des cybersystèmes essentiels.
  • Définition des services critiques et des cybersystèmes critiques.
• Programme de cybersécurité
  • Liste de critères et de priorités pour la sécurité.

Gouvernance et politiques de sécurité

• Politiques de sécurité d'une organisation.
• Processus de sécurité, de gestion des risques et des responsabilités.
• Politiques de sécurité d’une organisation.
• Définition des rôles.

Autres points importants

• Définition du renseignement confidentiel

  • Par nature (renseignements personnels, secrets industriels, etc.)
  • Selon l'interlocuteur (relation entre les personnes)
  • Selon le contexte de communication (conférence à l'amiable, discussions avec un médiateur)
  • Selon le contexte de conservation (fichiers médicaux, dossiers de tribunal)

• Description des critères pour définir un renseignement comme confidentiel.

• Localisation des données (data residency) en contexte légal.

• Lois particulières : blocking statutes (lois empêchant la circulation transfrontière de certains documents)

Questions et Discussions

• Questions posées et points importants pour la discussion.