Untitled Quiz

Questions and Answers

Qu'est-ce qui définit une vulnérabilité dans un système?

Un renforcement des protections existantes.

Une incapacité totale à résister aux menaces.

Un avantage stratégique contre les menaces.

Une faiblesse entraînant une incapacité partielle face aux menaces. (correct)

Quel type de mesure de sécurité concerne la protection physique des éléments?

Mesures opérationnelles.

Mesures administratives.

Mesures physiques. (correct)

Mesures techniques.

Quelle formule est utilisée pour évaluer les risques?

Risques × Faiblesses.

Menace × Impact.

Vulnérabilité × Gravité.

Probabilité × Gravité. (correct)

Quel est un exemple de mesure technique de sécurité?

Logiciels antivirus.

Qui est responsable de la mise en œuvre des mesures administratives en matière de sécurité?

Gestionnaires et responsables de l'organisation.

Quelle mesure administrative aide à vérifier l'historique des employés?

Vérifications d'antécédents.

Quel aspect des mesures de sécurité concerne l'utilisation de SSL et de mots de passe?

Mesures techniques.

Quelles sont les mesures de sécurité recommandées pour protéger les renseignements personnels?

Restreindre l'accès aux bureaux

Quel est le critère de protection des renseignements personnels selon LPRPDÉ?

Valeur de l'actif à protéger

Quels types de mesures sont mentionnées pour la protection des renseignements personnels?

Mesures administratives et techniques

Lors de la collecte de renseignements personnels, quel professionnel doit être consulté?

Le responsable de la protection des renseignements personnels

Quelle forme doit prendre la communication des renseignements personnels informatisés à la personne concernée?

Format technologique structuré et couramment utilisé

Les renseignements plus sensibles doivent être protégés de quelle manière?

Avec un niveau de sécurité plus élevé

Quelles peuvent être les conséquences de ne pas évaluer les risques avant un projet?

Risque juridique

Quel type d'accès devrait être mis en place pour protéger les renseignements personnels?

Accès sélectif selon les autorisations

Quel niveau d'infrastructure de site exige des chemins de distribution multiples indépendants ?

Tier 3

Pour le niveau 4, quel type de matériel de refroidissement est requis ?

Matériel de refroidissement indépendant et double alimenté

Quel est l'objectif principal de la responsabilité mentionnée dans l'article 1457 du CcQ ?

Ne pas causer de préjudice à autrui

Quelle caractéristique définit une infrastructure de site au niveau 3 ?

Équipements entièrement compatibles avec l'architecture du site

Quel est le devoir principal défini dans l'article 1458 du CcQ ?

Honorer les engagements contractés

Quel est l'objectif d'une infrastructure de site de niveau 4 ?

Assurer un fonctionnement sans interruption

Quelle est la principale caractéristique d'une infrastructure de site au niveau 1 ?

Infrastructure de site basique

Quel est le rôle principal de la signature numérique d'un notaire ?

Elle atteste le caractère authentique d'un acte.

Que doit éviter un pharmacien selon l'article 56 du Code de déontologie ?

De divulguer sa signature numérique.

Quelle conséquence pourrait résulter du fait qu'un notaire permette à son adjointe d'utiliser sa signature numérique ?

Cela pourrait justifier une radiation.

Quel est le danger principal lié à la divulgation d'un code de signature numérique par un pharmacien ?

Permettre des infractions.

Comment les responsabilités sont-elles partagées lors de fraudes en ligne selon les conventions de compte ?

Entre le client et l'institution financière.

Selon Marc Lemieux, quelle est la situation légale au Canada concernant la protection des victimes de fraudes en ligne ?

Il n'y a pas de lois encadrant cela.

Quelle affirmation est vraie concernant la réglementation des transactions bancaires électroniques au Royaume-Uni ?

Une autorité réglemente ces transactions.

Quelles infractions sont associées à l'utilisation non autorisée de la signature numérique d'un notaire ?

Infraction particulière avec sanctions possibles.

Quelle affirmation concernant les mesures raisonnables est correcte ?

Un professionnel qui suit la pratique de ses pairs n’a pas nécessairement agi avec diligence.

Qu’est-ce qu’un cybersystème essentiel selon le projet de loi C-26 ?

Tout cybersystème dont la compromission pourrait menacer un service critique.

Quelle est l'une des composantes de la gestion de la sécurité et de la continuité ?

Gestion des relations avec les fournisseurs.

Comment les codes de conduite professionnels influencent-ils la perception des mesures raisonnables ?

Ils peuvent renforcer l'argument en faveur de la diligence.

Quelles sont les implications d'une atteinte à la sécurité des renseignements personnels ?

Cela peut compromettre la confidentialité et l’intégrité des données.

Quel est un des aspects importants de la gouvernance en matière de sécurité ?

Développement continu des stratégies de sécurité.

Quelle composante ne fait pas partie de la politique de sécurité selon le modèle de sécurité mentionné ?

Politique de communication sociale.

Quel rôle joue la réglementation dans la gestion des incidents de sécurité ?

Elle peut imposer des exigences qui guident la réponse aux incidents.

Quels éléments doivent être pris en compte lors de la gestion des renseignements?

Les mesures de protection existantes

Quel article de la LPRPDÉ stipule la nécessité de notification en cas de brèche?

Article 10.1

Quels peuvent être les destinataires de la notification en cas de brèche selon la LPRPDÉ?

Le Commissariat à la protection de la vie privée

Quel type de données est généralement considéré comme confidentiel?

Les secrets de fabrication

Quelle est la sanction maximale pour une infraction à la LPRPDÉ?

Une amende de 100 000$

Qu'implique la non-détection d'un incident de sécurité?

Cela peut indiquer une culture de sécurité déficiente

Quels sont les critères pour qu'une information soit considérée comme confidentielle?

Elle ne doit pas être facilement reconstituable

Quelles sont les mesures imposées par la LPRPSP lors d'une brèche?

Une sanction administrative pécuniaire de 10M$ ou 2% du chiffre d'affaires

Study Notes

Présentation Droit + Sécurité de l'information

• Date de la séance : 10 octobre 2024
• Sujet : Internet et la responsabilité civile
• Numéro du cours : #CY240
• Présentateur : François Senécal
• Adresse courriel : [email protected]
• Site internet : POLYMTL.CA

Ordre du jour

• Introduction
• Sécurité de l'information
• Sources législatives
• Gouvernance et politique de sécurité

Introduction...

• La présentation aborde le sujet de la sécurité de l'information.
• Contrôle de l'information :
  • Preuve
  • Souveraineté sur les données
  • Propriété intellectuelle
  • Information personnelle confidentielle

Pourquoi protéger l’information ?

• Conformité légale
• Information comme témoignage des activités de l'organisation
  • Base décisionnelle
  • Valeur de preuve
• Information comme actif de l'organisation
  • De plus en plus générateur de valeur
  • Ne plus être seulement un sous-produit d'une activité économique principale

Actions du FTC contre Marriott et Starwood

• Marriott a accepté de payer une amende de 52 millions de dollars aux États-Unis et au District de Columbia pour des problèmes de sécurité de données.
• Le FTC a poursuivi Marriott et Starwood pour avoir trompé les consommateurs en leur faisant croire qu'ils avaient des pratiques de sécurité informatique raisonnables et appropriées.
• Le FTC a allégué que les entreprises n'avaient pas mis en place de mesures de sécurité appropriées pour protéger les renseignements personnels, notamment en ce qui a trait au contrôle des mots de passe, aux contrôles d'accès, aux logiciels pare-feu, à la mise à jour du logiciel et des systèmes, à la surveillance, et à l'authentification multifacteurs.

Quoi protéger – Caractères de l'information

• Disponibilité
• Intégrité
• Confidentialité
• Valeur de l'information

Qu'est-ce que la sécurité de l'information ?

• Protection des ressources d'une organisation contre des risques définis.
• Ensemble de mesures pour s'assurer de la confidentialité, de l'intégrité et de la disponibilité de l'information traitée.

Gestion des risques

• Activités pour identifier, définir et mettre en place des mesures préventives pour supprimer ou atténuer les conséquences d'un risque.
• Stratégies : atténuer, accepter, déplacer, assurer le risque.

Quelques exemples de risques

• Dommages physiques (incendie, inondation, vandalisme)
• Interactions humaines (actions/inactions accidentelles ou intentionnelles)
• Défaillances techniques (échecs de systèmes informatiques, périphériques)
• Attaques internes/externes (hameçonnage, pirates)
• Abus des données (vol, fraude, espionnage)
• Perte de données (destruction intentionnelle/non intentionnelle)
• Erreurs logicielles
• Interférences étatiques

Définition du rôle du responsable de la sécurité de l'information

• Connaissances métier et compétences relationnelles
• Rôle indépendant dans la gestion des risques ou de la conformité.
• Communication et implication dans la prise de conscience, la communication et l'investissement en matière de sécurité de l'information.

Risque – Autre définition

• Probabilité qu'une menace exploite une vulnérabilité avant qu'une contre-mesure soit mise en place.

Menaces

• Humaines (pirates, employés)
• Naturelles (tremblements de terre, inondations)
• Techniques (erreurs logicielles)
• Physiques (panne de courant)

Vulnérabilités

• Faiblesse d'un système pour faire face aux menaces informatiques.
• Catégories : techniques, physiques, opérationnelles, liées à la gestion du personnel.

Contre-mesures

• Mesures pour réduire les risques.
• Réduire l'importance des menaces ou la vulnérabilité à ces menaces.
• Calcul : Probabilité x Gravité (impact).

Types de mesures de sécurité

• Techniques
  • SSL
  • Certificats
  • Pare-feu
  • Logiciels antivirus
  • Cryptographie
  • NIP
  • Mots de passe
  • Authentification à deux facteurs
• Physiques
  • Agents de sécurité
  • Clôtures
  • CCTV
  • Gicleurs d'incendie
  • Aménagement paysager
• Administratives
  • Ententes de confidentialité
  • Contrôles
  • Audits
  • Sensibilisation
  • Procédures d'authentification
  • Formation
  • Vérifications d'antécédents

Sécurité physique et centres de données

• Exemples de niveaux d'infrastructures de sécurité physique.

Gouvernance et politiques de sécurité

• Structure et principes de gouvernance.
• Processus et responsabilités liés à la sécurité, le contrôle et la conformité.
• Ex: politiques de sécurité KPN.

Sources législatives de l'obligation de sécurité

• Droit civil
  • Protection des droits
  • Obligations de confidentialité
  • Souveraineté sur les données
  • Limites aux moyens de protection raisonnables

Régime de base

• Code civil du Québec (article 1457 et 1458)
  • Respect des règles de conduite
  • Responsabilité des dommages causés
  • Respect des engagements contractés

Définition : sécurité de l'information

• 26 LCCJTI: Obligation du prestataire de services d'assurer la sécurité, l'intégrité et la confidentialité des documents et de limiter l'accès aux personnes non habilitées.

Définition : sécurité de l'information (suite)

• 25 LCCJTI : Obligations de prendre les mesures de sécurité nécessaires pour assurer la confidentialité des documents technologiques.
• Ex. : Mots de passe en clair.

PKI et sécurité de la clé privée

• Importance de la signature numérique des notaires
• Exigences pour la sécurité de la clé privée et pour la protection du public, dans les cas de violation de la sécurité ou de divulgation par des tiers.

Où réside la responsabilité?

• Absence de loi canadienne spécifique pour la protection des victimes de fraude en ligne.
• Rôle des conventions de compte pour partager les responsabilités entre les clients et les institutions financières.
• Exemples du Royaume-Uni.
• Critiques de l'approche du Royaume-Uni.

Protection des RP (droits de confidentialité)

• Détail sur les types d'informations protégées dans les droits de confidentialité.

Environnement législatif en évolution

• Projets de lois (64 et C-27)

Loi sur la protection des renseignements personnels

• Obligations des entreprises d'avoir des mesures de sécurité appropriées pour les renseignements personnels collectés, utilisés, communiqués, conservés ou détruits compte tenu principalement de :
  • La sensibilité des renseignements
  • La finalité de leur utilisation
  • Leur quantité
  • Leur répartition, leur support

Loi sur la protection des renseignements personnels et les documents électroniques (annexes)

• Renseignements personnels doivent être protégés au moyen de mesures de sécurité adéquates en fonction de leur degré de sensibilité par les entreprises.

LPRPDÉ (PIPEDA en anglais)

• Définition des mesures de sécurité appropriées pour les renseignements personnels : perte, vol, consultation, communication, copie et modification non autorisée.
• Dépend du degré de sensibilité.
• Méthodes de protection : matérielles, administratives et techniques

Contrôles d'accès physiques

• Règlements d'urbanisme (limites aux clôtures)
• Code du bâtiment (présence de parcours sans obstacles, verrouillage électromagnétique)
• Limites légales à l'utilisation des caméras de surveillance.

Contrôles biométriques

• 43 et 44 LCCJTI: Limitation de l'utilisation des contrôles biométriques sans consentement.
• 45 LCCJTI: Obligations de divulgation préalables à la mise en place d'un système des données biométriques.

Contrôles biométriques (suite)

• Loi pour la protection de la santé des personnes et la sécurité publique.
• Justification pour l'obligation d'explication à la mise en oeuvre des dispositifs biométriques.

Code criminel

• Contraintes légales imposées par le droit pénal.
• Exemples: Lois sur les armes à feu et sur les dispositifs émettant des radiations.

Confidentialité et responsabilité : raisonnabilité

• Détail de l'application des lois et limites sur la protection.

Code civil du Québec

• Article 1457 : obligation de respecter les règles de conduite et de ne pas causer de préjudice à autrui.
• Responsabilité des dommages causés par une faute.

Intensité de l'obligation

• Mesures de sécurité doivent correspondre au degré de sensibilité des renseignements.
• Méthodes de protection : matériel, administratif et technique.
• Obligation des moyens renforcés

Mesures raisonnables

• Méthodes de protection : matérielles, administratives, techniques (ex: verrouillage des classeurs, mots de passe).
• Respect des pratiques des pairs comme preuves de diligence et de raisonnabilité.
• Exemple de jurisprudence (Roberge c. Bolduc).

Mesures raisonnables et standards de l'industrie

• Mention des standards d'industrie (CISSP, ISO, IETF, AICPA, SOC 2).

Évolution du cadre juridique

• Projet de loi C-26 sur la protection des cybersystèmes essentiels.
  • Définition des services critiques et des cybersystèmes critiques.
• Programme de cybersécurité
  • Liste de critères et de priorités pour la sécurité.

Gouvernance et politiques de sécurité

• Politiques de sécurité d'une organisation.
• Processus de sécurité, de gestion des risques et des responsabilités.
• Politiques de sécurité d’une organisation.
• Définition des rôles.

Autres points importants

• Définition du renseignement confidentiel

  • Par nature (renseignements personnels, secrets industriels, etc.)
  • Selon l'interlocuteur (relation entre les personnes)
  • Selon le contexte de communication (conférence à l'amiable, discussions avec un médiateur)
  • Selon le contexte de conservation (fichiers médicaux, dossiers de tribunal)

• Description des critères pour définir un renseignement comme confidentiel.

• Localisation des données (data residency) en contexte légal.

• Lois particulières : blocking statutes (lois empêchant la circulation transfrontière de certains documents)

Questions et Discussions

• Questions posées et points importants pour la discussion.