Articles

Articles

Articles
Articles

Le stockage des données sensibles

Posted by Damin Massicotte, TRINUS Technologies 21-03-2022 10:55 AM

Savoir où votre entreprise stocke ses données sensibles est un impératif pour toute organisation qui prend au sérieux sa cybersécurité. Malheureusement, le plus souvent, ce n’est pas le cas. Hélas, ce que la plupart des organisations semblent partager, c’est qu’elles ne savent pas réellement où se trouvent les fichiers ni ce qu’ils contiennent. On met en place des bibliothèques de stockage et on distribue des autorisations d’accès, mais à partir de là, personne n’y prête attention.

Ce n’est évidemment pas une bonne chose du point de vue de la sécurité, mais également du point de vue juridique. Toute organisation qui recueille des informations personnelles (municipalités, services de santé, banques, etc.) est soumise à certaines règles législatives pour les protéger, comme la LPRPDE, qui peut imposer des sanctions financières substantielles lorsque des données personnelles ou sensibles sont violées, volées, perdues ou mal gérées. En effet, cela signifie que des précautions supplémentaires doivent être prises pour les protéger. Bien sûr, pour protéger les informations personnelles, vous devez savoir où vous les conservez.

En supposant que vous le sachiez, quelqu’un prend-il les précautions supplémentaires nécessaires pour traiter les données sensibles ou sont-elles traitées comme tous les autres bits et octets? Il y a de fortes chances que la réponse soit la seconde. J’ai effectué de nombreux audits de sécurité au fil des ans et j’ai rarement vu des organisations prendre les précautions nécessaires lors du stockage ou du partage de données sensibles.

La sécurisation des données sensibles comporte de nombreux détails, sans parler des normes différentes et de la confusion qu’elles peuvent engendrer. Après tout, c’est une chose de respecter les normes du gouvernement fédéral, mais vous devez également respecter les exigences des provinces et des États.

Qui sait si l’association professionnelle de votre entreprise a également ses propres normes. Sans compter les changements et les mises à jour de la législation, qui font du stockage et du partage des données sensibles une cible mouvante. Par exemple, la PIPEDA (une législation fédérale canadienne) a été mise à jour en 2018 et 2019 (moins de dix ans après sa mise en place). La PIPA (une loi albertaine introduite en 2004) a été mise à jour quatre fois depuis.

D’autres réglementations peuvent également vous concerner, comme la norme PCI-DSS, qui concerne les processeurs de paiement en ligne. C’est pourquoi il est important de garder un œil sur toutes les réglementations auxquelles vous êtes soumis. Parfois, leurs modifications peuvent avoir des répercussions majeures sur votre activité et vos processus.

Si vous souhaitez obtenir de l’aide pour mettre à jour vos normes de stockage des données sensibles et les rendre conformes, contactez dès aujourd’hui l’un de nos experts en cybersécurité.

Damin Massicotte, TRINUS Technologies.
https://www.trinustech.com