Ce carnet s'adresse aux personnes oeuvrant dans une organisation communautaire qui souhaitent en apprendre davantage et s'outiller en ce qui concerne la cybersécurité.
⚠️ Des données menacées?
Cyberattaque, cyberpiratage, cybercriminalité... Plusieurs menaces peuvent engendrer, une perte, une altération ou une divulgation non autorisée de données. Ce qui peut entraîner des préjudices envers les personnes concernées ou envers votre organisation. Des tiers peuvent prendre le contrôle de vos données et les monétiser, les exploiter et les vendre à des fins non compatibles avec vos valeurs et contraires aux intérêts de vos bénéficiaires.
🔐 Gérer la sécurité des données
Prendre le temps de bien réfléchir et de planifier les initiatives de transformation numérique permet une gestion plus sécuritaire des solutions numériques. Une réflexion en amont permet d'anticiper les risques et de prévoir des solutions.
Voici différents types de données à protéger :
Renseignements personnels
Données concernant une personne identifiable (par exemple, numéro de téléphone, adresse, âge, sexe, ethnie).Renseignements personnels sensibles
Informations personnelles nécessitant une protection accrue de la vie privée, telles que des données relatives à la santé, aux finances, à la race, aux opinions politiques, aux orientations sexuelles, aux croyances religieuses et aux données génétiques. Remarque : La sensibilité des données peut varier d'une personne à l'autre.Données confidentielles
Données non destinées à la diffusion publique. Si elles sont divulguées, elles peuvent nuire à l'organisation (risque de réputation) ou porter préjudice aux individus si leurs données personnelles sont partagées sans leur consentement. La confidentialité n'est pas un état permanent. Par exemple, un plan stratégique peut être confidentiel initialement mais devenir public par la suite.Données restreintes
Données confidentielles hautement sensibles qui posent un risque significatif si elles sont divulguées (par exemple, numéros de sécurité sociale).
🛡️ Qu'est-ce que la cybersécurité?
La cybersécurité est un ensemble des mesures mises en place pour protéger ou défendre la sécurité de vos systèmes d’information et de communication et les données qu’ils contiennent contre toute utilisation, modification, destruction, exploitation ou diffusion de celles-ci, qu’elle soit non autorisée ou accidentelle.
Ces mesures peuvent inclure la prévision des risques, des plans d’intervention en cas d’incident et des plans de continuité pour atténuer leurs éventuelles conséquences.
🦺 Prévenir et protéger
Adopter de bonnes pratiques en sécurité de l’information permet à une organisation de protéger adéquatement les informations confidentielles et personnelles qu’elle gère au quotidien et d’être plus résiliente face aux incidents qui surviennent de plus en plus fréquemment dans l’environnement numérique.
🔑 Un équilibre entre disponibilité, intégrité et confidentialité
Pour être considérés comme étant en sécurité, les renseignements sur un site Web ou des documents publics doivent surtout rester disponibles et intègres, alors que d’autres renseignements, comme des numéros d’assurance sociale, doivent surtout rester confidentiels à cause de leur haut degré de sensibilité.
Il est donc important de prendre en compte ces différents aspects pour protéger un système d'information et de communication.
La confidentialité
La confidentialité est un pilier essentiel de la sécurité de l’information, limitant l’accès aux données à des personnes autorisées. Les informations médicales, les numéros d’assurance sociale ou les évaluations de performance sont des exemples de données confidentielles. Une entente de confidentialité repose sur un lien de confiance, encadré par des normes juridiques, déontologiques ou éthiques. Ces règles garantissent la protection des renseignements personnels et assurent que seules les personnes concernées peuvent y accéder, renforçant ainsi la sécurité et l’intégrité des informations partagées.
La Loi 25 est étroitement liée à cette notion, une note lui est consacrée dans ce carnet. Nous vous invitons à la consulter.
L'intégrité des données
S'assurer que les données restent intègres, est un enjeu plus large que les risques de vols de vos données ou ceux liés à une gestion sécuritaire de vos mots de passe. Elle renvoie plus largement à une gestion des risques comme la mise à jour de vos copies (les fameux backup), le lieu de conservation de ses copies, etc.
Une atteinte à l’intégrité peut se faire :
- Par erreur : une personne ayant l’accès à un document partagé modifie, sans s’en rendre compte, les chiffres d’un budget ou supprime quelques phrases d’un document.
- Dans un contexte d’attaque malicieuse : une personne malfaisante gagne l’accès au courriel d’une autre personne et envoie des messages en son nom. Ici, le message n’est pas intègre puisqu’il n’a pas réellement été écrit par la personne associée au compte d'origine.
La disponibilité des données
La disponibilité des données garantit l’accès aux informations pour les personnes autorisées. Elle peut être compromise par des incidents courants, comme un liquide renversé sur un ordinateur ou un mot de passe oublié, entraînant frustration et perte de temps. De bonnes pratiques en sécurité de l’information permettent de limiter ces risques.
Il faut aussi s’assurer de la résilience des systèmes en cas de pannes de longue durée ou d’attaques informatiques.
🧭 Explorer ce thème
- Guide Pensez cybersécurité pour les petites entreprises du gouvernement du Canada. Ce guide explique les mesures que vous pouvez prendre pour atténuer les risques de cybermenaces et mieux protéger votre organisation.
- Guide sur les rançongiciels conçu par le Centre de la sécurité des télécommunications du gouvernement du Canada.
- Data detox kit : Des actions quotidiennes pour prendre le contrôle de votre vie privée, sécurité et bien-être en ligne à votre manière.
☝ Cette note a été rédigée par Nord Ouvert dans le cadre du projet Virage communautaire. Les savoirs présentés proviennent du programme DATAide, une initiative de Centraide du Grand Montréal.
