/fr/produits/Solutions-TI/Blogs/cybersecurite-conformite-canada

Comment rester conforme aux plus récents règlements sur la cybersécurité du Canada

Les exigences de cybersécurité canadiennes évoluent sans cesse, et avec raison. La protection des systèmes n’a jamais été aussi complexe et nécessaire. C’est pourquoi de nombreuses entreprises considèrent la conformité comme une pratique reproductible qui assure la protection des personnes, renforce les activités et instaure la confiance. L’objectif reste cependant le même : une approche structurée et conforme aux règlements fédéraux et provinciaux, qui est adaptée à la réalité d’une petite ou moyenne entreprise.



Principaux règlements sur la cybersécurité au Canada


  • La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) établit les exigences de base de la collecte, de l’utilisation, de la communication et de la protection des renseignements personnels par les organisations du secteur privé. Elle intègre les principes relatifs à l’équité dans le traitement de l’information comme la responsabilité, le consentement, l’exactitude et les mesures de sécurité. Toute atteinte qui présente un risque réel de préjudice grave doit être déclarée. Les organisations doivent conserver un registre de toutes les atteintes.
  • La Loi 25 du Québec ajoute des obligations particulières aux entreprises exploitées ou offrant des services au Québec. Elles incluent la nomination d’une personne responsable de la protection des renseignements personnels, la publication de politiques de gouvernance, des évaluations des facteurs relatifs à la vie privée pour certains systèmes, la tenue d’un registre des incidents et des avis à la Commission d’accès à l’information et aux personnes concernées lorsqu’un incident présente un risque de préjudice sérieux.
  • La Loi canadienne anti-pourriel (LCAP) s’applique à l’envoi de messages électroniques commerciaux. Pour chaque message, les organisations doivent avoir un consentement valide, identifier clairement l’expéditeur et offrir un mécanisme d’exclusion. Le CRTC l’applique activement, c’est pourquoi les responsables de la conformité des petites et moyennes entreprises et des grandes marques sont au fait de la LCAP.
  • Remarque pour le secteur financier : Les institutions financières fédérales ont des obligations particulières de déclaration des incidents de cybersécurité au Bureau du surintendant des institutions financières, notamment l’envoi d’un rapport en moins de 24 heures.


Une feuille de route pratique pour la conformité informatique au Canada


  • Commencez par dresser un inventaire des systèmes, des données et des fournisseurs, puis indiquez les obligations qui s’y appliquent.
    • La LPRPDE et la Loi 25 s’agencent bien à un cadre de contrôle largement reconnu, comme ISO/IEC 27001, pour la structuration des politiques, le contrôle des accès, le cryptage, la journalisation et l’amélioration continue.
    • Pour les équipes à la recherche d’une assurance reconnue, notre billet d’information L’importance de la conformité à la norme SOC 2 pour les entreprises canadiennes aide à traduire les contrôles en renseignements compris par les parties prenantes.
  • Créez une petite bibliothèque de politiques sur l’utilisation acceptable, la gestion des accès, la conservation et l’intervention en cas d’incident.
  • Activez l’authentification à facteurs multiples, appliquez le principe du moindre privilège, appliquez toujours les correctifs aux terminaux et centralisez la journalisation.
  • Ajoutez des tests de sécurité réguliers à votre calendrier. Effectuez périodiquement des tests d’intrusion pour valider vos défenses, déceler des vulnérabilités avant qu’elles puissent être exploitées et vérifier que les contrôles fonctionnent comme prévu. Pour des évaluations plus poussées, les entreprises peuvent réserver un test d’intrusion directement sur notre page de services de cybersécurité.
  • Pour les communications par courriel et par texto, assurez-vous que les processus d’enregistrement du consentement et d’exclusion pour la LCAP sont vérifiables.
  • Si vous soupçonnez un risque d’intrusion, utilisez l’outil d’autoévaluation des risques d’atteinte à la vie privée du Commissariat à la protection de la vie privée du Canada pour déterminer les prochaines étapes à suivre.

Pour déceler rapidement les erreurs de configuration et les risques liés aux systèmes vieillissants, réservez une évaluation de la sécurité de base et transformez les constats en un court plan d’action avec des priorités.



Liste de contrôle du niveau de conformité


Utilisez cette liste pour évaluer votre situation actuelle :

  • Le mappage est achevé pour les données opérationnelles sensibles, des clients et des membres du personnel.
  • Une personne responsable de la protection des renseignements personnels a été nommée, ses coordonnées ont été publiées et les politiques de gouvernance ont été publiées en langage clair pour le Québec, le cas échéant.
  • Les processus d’enregistrement du consentement et d’exclusion ont été validés conformément à la LCAP et les enregistrements sont conservés.
  • Des contrôles d’accès par rôles sont en place, les comptes d’administration ont été vérifiés et l’AFM est activée pour les outils à accès privilégié.
  • Les données au repos et en transit sont cryptées pour les systèmes essentiels et de sauvegarde.
  • Les correctifs sont régulièrement appliqués et les vulnérabilités sont gérées pour les terminaux et les serveurs.
  • Des tests d’intrusion sont prévus chaque année ou après l’application de changements aux systèmes afin de déceler des faiblesses exploitables et de confirmer l’efficacité des défenses.
  • La journalisation et des alertes centralisées sont en place et la période de conservation est définie pour soutenir les enquêtes.
  • Le plan d’intervention en cas d’incident a été mis à l’essai et le processus de notification d’intrusion est documenté pour la LPRPDE et la Loi 25.
  • La liste des fournisseurs est à jour, des dispositions relatives à la sécurité et aux intrusions sont incluses dans les contrats et des évaluations périodiques ont été planifiées.
  • Les objectifs de sauvegarde et de reprise après sinistres sont définis et les tests trimestriels de restauration ont été réussis.


Comment Canon Canada peut soutenir votre équipe


Canon Canada, en collaboration avec Supra ITS, fournit à votre équipe informatique des services d’évaluation, de surveillance de la sécurité, de préparation aux incidents et de réalisation de projets qui assurent la conformité des contrôles aux exigences canadiennes. Commencez par une évaluation de la sécurité de base et renforcez la protection de vos appareils à l’aide de nos conseils relatifs aux terminaux.

Communiquer avec nous