Outils de contrôle des pertes

Si vous ne croyez pas que votre entreprise ait &eacute;t&eacute; victime d&rsquo;une cyberattaque, c&rsquo;est que votre &eacute;quipe de s&eacute;curit&eacute; TI fait un excellent travail. En fait, il ne s&rsquo;agit pas de d&eacute;terminer &laquo; si &raquo; une entreprise sera victime d&rsquo;une attaque, mais bien &laquo; quand &raquo;. La cybers&eacute;curit&eacute; ne repose pas uniquement sur les &eacute;paules de votre &eacute;quipe de TI. C&rsquo;est la responsabilit&eacute; de tous et toutes. Voici un glossaire de termes pour aider tout le personnel &agrave; peaufiner ses connaissances terminologiques en cybers&eacute;curit&eacute;. Plus vous en saurez, plus vous pourrez en faire pour att&eacute;nuer les cyberrisques.

25 Termes de cybersécurité que votre équipe de sécurité TI ne devrait pas être seule à connaître

À propos

Services

Ressources

Contactez-nous

##Title##

article-dynamic

5 ways to Bolster your IT Security Strategy with Employee Training

Rares sont les protections qui sont aussi mal comprises que l&rsquo;assurance bris des &eacute;quipements. Bien que les courtiers et les acheteurs soient de mieux en mieux inform&eacute;s, il subsiste une id&eacute;e fausse tr&egrave;s r&eacute;pandue selon laquelle l&rsquo;assurance bris des &eacute;quipements ne couvre que les &eacute;quipements traditionnels tels que les appareils sous pression et les machines m&eacute;caniques. Mais il n&rsquo;est pas question ici de l&rsquo;ancienne assurance chaudi&egrave;re et machinerie de votre p&egrave;re (ou de votre grand-p&egrave;re). L&rsquo;assurance bris des &eacute;quipements est une protection essentielle pour presque toutes les entreprises. Bien que de nombreux propri&eacute;taires et exploitants pensent que les pertes li&eacute;es au bris d&rsquo;&eacute;quipement sont couvertes par leur assurance de biens, il existe des exclusions que l&rsquo;assurance bris des &eacute;quipements sert &agrave; pallier. Non seulement l&rsquo;assurance bris des &eacute;quipements couvre les &eacute;quipements qui doivent &ecirc;tre r&eacute;par&eacute;s ou remplac&eacute;s, mais elle couvre aussi les pertes d&rsquo;exploitation. Par exemple, si des &eacute;quipements essentiels sont endommag&eacute;s, l&rsquo;entreprise pourrait ne pas &ecirc;tre en mesure de poursuivre ses activit&eacute;s imm&eacute;diatement et subir de graves r&eacute;percussions financi&egrave;res et r&eacute;putationnelles. De plus, si l&rsquo;entreprise avait une panne de r&eacute;frig&eacute;ration, il pourrait &ecirc;tre tr&egrave;s co&ucirc;teux de jeter les produits avari&eacute;s. L&rsquo;assurance bris des &eacute;quipements aide les entreprises &agrave; att&eacute;nuer les pertes de revenus et &agrave; reprendre leurs activit&eacute;s le plus rapidement possible. Alors pourquoi l&rsquo;assurance bris des &eacute;quipements est-elle largement incomprise? Un peu d&rsquo;histoire : L&rsquo;assurance contre le bris des &eacute;quipements (&agrave; l&rsquo;&eacute;poque assurance chaudi&egrave;re et machinerie) a &eacute;t&eacute; cr&eacute;&eacute;e pendant la r&eacute;volution industrielle pour prot&eacute;ger les entreprises poss&eacute;dant des chaudi&egrave;res &agrave; vapeur contre le risque d&rsquo;explosion ou d&rsquo;autres pannes majeures. Au cours des d&eacute;cennies suivantes, la protection a &eacute;volu&eacute; pour inclure un plus grand &eacute;ventail d&rsquo;&eacute;quipements et d&rsquo;appareils &eacute;lectroniques, notamment les ordinateurs, les photocopieurs et les syst&egrave;mes t&eacute;l&eacute;phoniques. Il est compr&eacute;hensible que l&rsquo;appellation pr&eacute;c&eacute;dente (assurance chaudi&egrave;re et machinerie) ait amen&eacute; de nombreuses personnes &agrave; croire que si leur entreprise n&rsquo;avait pas de risque li&eacute; aux chaudi&egrave;res ou aux machines, elles n&rsquo;avaient pas besoin de cette protection. Cela a n&eacute;cessit&eacute; une nouvelle terminologie &ndash; l&rsquo;assurance bris des &eacute;quipements &ndash; qui est apparue &agrave; la fin des ann&eacute;es 1990. Aujourd&rsquo;hui, l&rsquo;assurance bris des &eacute;quipements est globale et couvre notamment les syst&egrave;mes de chauffage, de ventilation et de climatisation, les machines de production (machines &agrave; commande num&eacute;rique par calculateur [CNC]), ainsi que tous les types d&rsquo;&eacute;quipements &eacute;lectriques et technologiques. Cependant, il y a toujours une incompr&eacute;hension &agrave; l&rsquo;&eacute;gard du fait que cette protection est essentielle pour presque toutes les entreprises. Pour que les courtiers et les assur&eacute;s gardent &agrave; l&rsquo;esprit l&rsquo;assurance bris des &eacute;quipements, la formation est essentielle. Avec l&rsquo;afflux constant de nouvelles technologies et d&rsquo;&eacute;quipements de pointe, les courtiers doivent se tenir au courant des tendances et disposer des outils et des ressources n&eacute;cessaires pour fournir de l&rsquo;information aux clients.

Pourquoi l’assurance bris des équipements est-elle une protection essentielle ?

De nos jours, les chaudi&egrave;res et les appareils sous pression sont omnipr&eacute;sents dans de nombreux domaines, notamment la production d&rsquo;&eacute;nergie, le secteur manufacturier, l&rsquo;agroalimentaire, la foresterie et le nettoyage &agrave; sec. 1&nbsp;Mais quand il s&rsquo;agit de g&eacute;rer les risques qui leur sont associ&eacute;s, bon nombre d&rsquo;entreprises n&rsquo;ont toujours pas conscience du r&ocirc;le que joue leur assureur en ce qui concerne les inspections, de leurs responsabilit&eacute;s en tant que propri&eacute;taires et des avantages que les inspections peuvent leur apporter. Voici les trois principales raisons de proc&eacute;der &agrave; une inspection r&egrave;glementaire et ses avantages pour votre entreprise.
<h3>C&rsquo;est la loi !</h3>
D&rsquo;abord et avant tout, la loi exige l&rsquo;inspection r&eacute;guli&egrave;re des chaudi&egrave;res et des appareils sous pression. Il est donc important que les propri&eacute;taires et les op&eacute;rateurs restent &agrave; l&rsquo;aff&ucirc;t des changements r&eacute;glementaires. En juillet 2018, l&rsquo;Office des normes techniques et de la s&eacute;curit&eacute; a instaur&eacute; de nouvelles r&egrave;gles concernant les chaudi&egrave;res et les appareils sous pression en Ontario. 2&nbsp;2 Auparavant, l&rsquo;assureur envoyait un certificat d&rsquo;inspection directement au client. Les propri&eacute;taires de chaudi&egrave;res et d&rsquo;appareils sous pression doivent maintenant s&rsquo;adresser &agrave; l&rsquo;Office des normes techniques et de la s&eacute;curit&eacute;, qui elle &eacute;mettra un certificat une fois que l&rsquo;appareil aura pass&eacute; l&rsquo;inspection p&eacute;riodique et que l&rsquo;assureur aura soumis le relev&eacute; d&rsquo;inspection. Les propri&eacute;taires doivent payer des frais &agrave; l&rsquo;Office pour recevoir leur certificat d&rsquo;inspection. En fin de compte, ce sont les propri&eacute;taires et les op&eacute;rateurs qui doivent s&rsquo;assurer de respecter la loi. En Ontario, si la loi l&rsquo;exige pour une chaudi&egrave;re ou un appareil sous pression, son propri&eacute;taire ou utilisateur est responsable d&rsquo;en faire faire l&rsquo;inspection. C&rsquo;est l&rsquo;Office des normes techniques et de la s&eacute;curit&eacute; qui le fera avant la premi&egrave;re utilisation de l&rsquo;appareil, et la compagnie d&rsquo;assurance qui s&rsquo;occupera des inspections p&eacute;riodiques par la suite. L&rsquo;appareil en fonction devra &ecirc;tre inspect&eacute; par l&rsquo;assureur ou un inspecteur ind&eacute;pendant chaque ann&eacute;e, aux deux ans ou aux trois ans, selon ce que la r&eacute;glementation exige. Les exigences sont semblables au Qu&eacute;bec, mais elles diff&egrave;rent quelque peu quant &agrave; la fr&eacute;quence d&rsquo;inspection. Au Qu&eacute;bec, si la loi l&rsquo;exige pour une chaudi&egrave;re ou un appareil sous pression, son propri&eacute;taire ou utilisateur est responsable de le faire approuver par la R&eacute;gie du b&acirc;timent du Qu&eacute;bec (RBQ) avant de l&rsquo;utiliser. 3&nbsp;Une fois l&rsquo;appareil en fonction, il devra &ecirc;tre inspect&eacute; p&eacute;riodiquement par une personne ou un organisme reconnu par la RBQ, qui &eacute;mettra un certificat d&rsquo;inspection p&eacute;riodique. La fr&eacute;quence d&rsquo;inspection &ndash; un an, deux ans, trois ans, quatre ans &ndash; varie selon le type de chaudi&egrave;re ou d&rsquo;appareil sous pression. Les compagnies d&rsquo;assurance sont des partenaires importants &agrave; cet &eacute;gard. Elles peuvent aider les entreprises &agrave; d&eacute;terminer si la r&eacute;glementation s&rsquo;applique &agrave; leurs appareils, quelles sont les exigences en mati&egrave;re d&rsquo;inspection et comment faire pour respecter celles-ci.
<h3>C&rsquo;est une question de s&eacute;curit&eacute;</h3>
Peu importe l&rsquo;endroit, la raison premi&egrave;re de ces inspections p&eacute;riodiques est de s&rsquo;assurer que les chaudi&egrave;res respectent les normes de s&eacute;curit&eacute;. Elles peuvent exploser et causer des dommages, des blessures et m&ecirc;me la mort.4 C&rsquo;est pourquoi il est primordial d&rsquo;assurer la s&eacute;curit&eacute; des personnes autour de l&rsquo;appareil, qu&rsquo;il s&rsquo;agisse d&rsquo;employ&eacute;s ou de membres de la population. 4, , so ensuring the safety of people who are in the vicinity of the unit &mdash;whether they&rsquo;re employees or members of the public &mdash; is job number one.
<h3>&Ccedil;a peut vous permettre d&rsquo;&eacute;conomiser</h3>
Les avantages des inspections r&eacute;guli&egrave;res pour les propri&eacute;taires et les op&eacute;rateurs des appareils vont au-del&agrave; de la s&eacute;curit&eacute;. Par exemple, au moment de l&rsquo;inspection, il n&rsquo;est pas rare de d&eacute;couvrir des d&eacute;p&ocirc;ts de tartre sur les surfaces de transfert de chaleur d&rsquo;une chaudi&egrave;re. 5 Le tartre entrave le transfert de chaleur par les tubes de la chaudi&egrave;re, ce qui rend l&rsquo;appareil moins efficace et augmente les co&ucirc;ts &eacute;nerg&eacute;tiques. 6&nbsp;&nbsp;En plus de l&rsquo;entretien ad&eacute;quat et r&eacute;gulier qui s&rsquo;impose, l&rsquo;expertise d&rsquo;un inspecteur peut s&rsquo;av&eacute;rer utile pour maximiser l&rsquo;efficacit&eacute; de l&rsquo;appareil et augmenter sa dur&eacute;e de vie. Bien que les explosions soient rares compte tenu de la quantit&eacute; de chaudi&egrave;res et d&rsquo;appareils sous pression utilis&eacute;s dans le monde, elles peuvent co&ucirc;ter tr&egrave;s cher &agrave; une entreprise. Aux dommages caus&eacute;s par l&rsquo;explosion elle-m&ecirc;me vient s&rsquo;ajouter le co&ucirc;t de remplacement de l&rsquo;appareil. Il va de soi qu&rsquo;une assurance r&eacute;duira les pertes financi&egrave;res en cas d&rsquo;accident, mais encore faut-il avoir les protections ad&eacute;quates. Par exemple, il importe de mentionner que les bris d&rsquo;&eacute;quipements ne sont pas toujours couverts par les polices d&rsquo;assurance des biens et qu&rsquo;il y a des exclusions pour lesquelles l&rsquo;assurance contre le bris des &eacute;quipements a express&eacute;ment &eacute;t&eacute; con&ccedil;ue.
Sources
1&nbsp;Registre de la r&eacute;glementation de l&rsquo;Ontario: &nbsp; <a href="https://www.ontariocanada.com/registry/view.do?language=fr&amp;postingId=24227">Examen du r&egrave;glement sur les chaudi&egrave;res et appareils sous pression (Boilers and Pressure Vessels Regulation)</a>&nbsp;2 juin 2017 2&nbsp;TSSA:&nbsp; <a rel="noreferrer noopener" href="https://www.tssa.org/en/boilers-pressure-vessels/resources/Documents/BPVCOI/BPV-Regulation-Change-Notice-for-Device-Owners1.pdf" target="_blank">Amendments to Ontario&rsquo;s Boilers and Pressure Vessels Regulation</a>&nbsp;2 fevrier 2018 3&nbsp;B-1.1, r. 6.1 -&nbsp; <a rel="noreferrer noopener" href="http://legisquebec.gouv.qc.ca/en/pdf/cr/B-1.1,%20R.%206.1.pdf" target="_blank">Regulation respecting pressure installations</a>&nbsp;Updated 1 novembre 2019 4&nbsp;Engineering 360:&nbsp; <a rel="noreferrer noopener" href="http://legisquebec.gouv.qc.ca/fr/pdf/cr/B-1.1,%20R.%206.1.pdf" target="_blank">R&egrave;glement sur les installations sous pression</a>&nbsp;February 2, 2016 5&nbsp;The National Board of Boiler and Pressure Vessel Inspectors:&nbsp; <a rel="noreferrer noopener" href="https://www.nationalboard.org/Index.aspx?pageID=164&amp;ID=224" target="_blank">Water Maintenance Essential to Prevent Boiler Scaling</a>, consult&eacute; 22 ao&ucirc;t 2019 6&nbsp;U.S. Department of Energy:&nbsp; <a rel="noreferrer noopener" href="https://www.energy.gov/sites/prod/files/2014/05/f16/steam7_surfaces.pdf" target="_blank">Clean Firetube Boiler Waterside Heat Transfer Surfaces</a>, consult&eacute; 22 ao&ucirc;t 2019

Pourquoi avez-vous besoin d’une inspection réglementaire ?

Malgr&eacute; l&rsquo;&eacute;mergence des technologies d&rsquo;automatisation et d&rsquo;intelligence artificielle, la grande majorit&eacute; des activit&eacute;s commerciales reposent sur une forme d&rsquo;interaction ou de connexion entre des personnes. Les employ&eacute;s repr&eacute;sentent le plus grand atout des entreprises, mais restent &eacute;galement le maillon faible de chaque organisation en mati&egrave;re de d&eacute;fense contre les cyberattaques. Vous pouvez mettre en &oelig;uvre la technologie de pare-feu la plus r&eacute;cente et employer un directeur des syst&egrave;mes d&rsquo;information exceptionnel, si tous les membres du personnel ne sont pas au courant des types d&rsquo;escroqueries que les cybercriminels tentent de mettre en &oelig;uvre, il est probable que votre organisation puisse &ecirc;tre victime d&rsquo;une attaque d'ing&eacute;nierie sociale.
<h3>Qu'est-ce que l'ing&eacute;nierie sociale?</h3>
En termes simples, l'ing&eacute;nierie socialeest une forme de manipulation psychologique qui cible l'utilisateur plut&ocirc;t que l'ordinateur lui-m&ecirc;me - et qui s'av&egrave;re tr&egrave;s efficace pour les cybercriminels. Elle se sert de nos caract&eacute;ristiques humaines universelles de peur, de confiance et de conformit&eacute; pour acc&eacute;der &agrave; l'information, le tout sans pirater de syst&egrave;me ni d&eacute;chiffrer de code ou de mot de passe.
<blockquote>
Votre premi&egrave;re ligne de d&eacute;fense peut consister &agrave; investir dans un logiciel antivirus et un pare-feu (mat&eacute;riel et logiciel) dot&eacute;s de fonctionnalit&eacute;s de d&eacute;tection des intrusions - cela serait d&eacute;j&agrave; un tr&egrave;s bon d&eacute;but. Mais ces dispositifs ne vous prot&eacute;geront pas des d&eacute;faillances humaines, comme un manque d'attention port&eacute; aux d&eacute;tails ou une nature trop confiante.
</blockquote>
<h3>R&eacute;percussions sur votre entreprise</h3>
Si les organisations ne prennent pas de mesures pour &eacute;duquer et former leurs employ&eacute;s sur les tactiques d'ing&eacute;nierie sociale, il est plus probable qu'elles soient victimes d'escroquerie, qu'elles soient pirat&eacute;es, qu'elles subissent une atteinte aux donn&eacute;es et qu'elles deviennent victimes de virements &eacute;lectroniques frauduleux. Ces &eacute;v&eacute;nements peuvent &ecirc;tre extr&ecirc;mement co&ucirc;teux et nuire &agrave; la r&eacute;putation de l'entreprise. Et cela peut se r&eacute;p&eacute;ter si les m&eacute;chants trouvent la &laquo; bonne victime &raquo;. En plus des incidences financi&egrave;res, &ecirc;tre victime d'une arnaque n'est pas agr&eacute;able et peut affecter &eacute;motionnellement vos employ&eacute;s.
<h3>Tactiques d'hame&ccedil;onnage</h3>
L&rsquo;hame&ccedil;onnage est une technique par laquelle les cybercriminels envoient de faux courriels, textes ou sites Web qui ressemblent &agrave; de la correspondance l&eacute;gitime pour manipuler les employ&eacute;s afin d'acc&eacute;der aux syst&egrave;mes ou aux informations de l'entreprise. Des tactiques d'ing&eacute;nierie sociale sont utilis&eacute;es pour exploiter les &eacute;motions des employ&eacute;s afin d'avoir acc&egrave;s &agrave; des renseignements cibl&eacute;s.
Un hame&ccedil;onnage se produit g&eacute;n&eacute;ralement lorsqu'un pirate informatique met la main sur la structure des adresses &eacute;lectroniques d'une organisation, pour ensuite g&eacute;n&eacute;rer une liste de noms d'employ&eacute;s de l'entreprise, g&eacute;n&eacute;ralement sur LinkedIn ou sur le site Web de l'entreprise.
De m&ecirc;me, un cybercriminel pourrait obtenir les informations de connexion de l'adresse de messagerie d'un dirigeant de l'entreprise et envoyer des courriels aux employ&eacute;s directement &agrave; partir de ce compte. Il pourrait alors demander des renseignements confidentiels, ou encore leur demander d&rsquo;envoyer des virements &eacute;lectroniques au nom de la soci&eacute;t&eacute;. Dans de nombreux cas, l&rsquo;employ&eacute; recevant ce message &eacute;lectronique estimera que la demande est l&eacute;gitime et fournira les renseignements confidentiels ou virera les fonds.
Une autre forme d'hame&ccedil;onnage prend la forme de courriels envoy&eacute;s par des pirates - qui semblent &agrave; nouveau provenir d&rsquo;une adresse &eacute;lectronique l&eacute;gitime - contenant un lien ou une pi&egrave;ce jointe.
Ce lien peut avoir diff&eacute;rentes fonctions : il peut rediriger vers une page Web comportant un formulaire leur demandant de fournir des renseignements personnels, il peut inclure des logiciels espions pour recueillir des renseignements sur la soci&eacute;t&eacute; (et ses employ&eacute;s et clients) ou comprendre un ran&ccedil;ongiciel en pi&egrave;ce jointe qui s&rsquo;active apr&egrave;s le t&eacute;l&eacute;chargement. Ce fichier chiffrera les fichiers pr&eacute;sents sur l'ordinateur de l'utilisateur et ne les d&eacute;chiffrera que lorsqu'une ran&ccedil;on sera vers&eacute;e sur le compte bancaire du criminel.
<h3>Conseils pour prot&eacute;ger votre entreprise</h3>
L'ing&eacute;nierie sociale peut &ecirc;tre pr&eacute;venue par le biais de la formation des employ&eacute;s. Votre premi&egrave;re ligne de d&eacute;fense peut consister &agrave; investir dans un logiciel antivirus et un pare-feu (mat&eacute;riel et logiciel) dot&eacute;s de fonctionnalit&eacute;s de d&eacute;tection des intrusions - cela serait d&eacute;j&agrave; un tr&egrave;s bon d&eacute;but. Mais ces dispositifs ne vous prot&eacute;geront pas des d&eacute;faillances humaines, comme un manque d'attention port&eacute; aux d&eacute;tails ou une nature trop confiante. C'est pourquoi il est si important de former les employ&eacute;s sur l'ing&eacute;nierie sociale et l&rsquo;hame&ccedil;onnage, ainsi que sur les tactiques particuli&egrave;res auxquelles ils doivent porter attention. Cela peut aider &agrave; favoriser une culture dans laquelle les employ&eacute;s sont alertes et prudents avec les informations, tant en ligne qu'en personne.
Encouragez les employ&eacute;s &agrave; suivre la d&eacute;marche ci-dessous pour r&eacute;duire les risques d'ing&eacute;nierie sociale au sein de votre organisation:
<ul>
<li>&Eacute;vitez d'ouvrir des courriels provenant d'adresses inconnues.</li>
<li>Cr&eacute;ez des mots de passe plus complexes et plus longs - et changez-les r&eacute;guli&egrave;rement.</li>
<li>&Eacute;vitez les sites Web ainsi que les applications Web et pour t&eacute;l&eacute;phones intelligents qui ne sont pas dignes de confiance.</li>
<li>R&eacute;duisez le nombre de donn&eacute;es biographiques que vous divulguez en ligne (par exemple, votre date de naissance sur les m&eacute;dias sociaux).</li>
<li>En ligne, ne fr&eacute;quentez que des sites de confiance.</li>
<li>Ne cliquez pas sur les liens qui vous sont envoy&eacute;s. Ouvrez plut&ocirc;t la page Web manuellement en saisissant l'adresse pour vous assurer que vous vous rendez sur un site l&eacute;gitime et non sur un site d&rsquo;hame&ccedil;onnage.</li>
<li>D&eacute;connectez-vous de Facebook et des autres r&eacute;seaux sociaux lorsque vous ne les utilisez pas et avant de fermer la fen&ecirc;tre de votre navigateur.</li>
<li>Ne choisissez pas &laquo; enregistrer mon mot de passe &raquo; ou &laquo; se souvenir de moi &raquo; lorsque vous vous connectez &agrave; n'importe quel type de compte, car ces donn&eacute;es d'identification peuvent &ecirc;tre vol&eacute;es par des pirates.</li>
<li>Respectez le protocole de la soci&eacute;t&eacute; en cas de &laquo; nouveau fournisseur/changement de compte &raquo; pour v&eacute;rifier l'identit&eacute; des clients avant d'envoyer des virements &eacute;lectroniques d&eacute;passant un seuil pr&eacute;d&eacute;termin&eacute;. Cela pourrait impliquer d&rsquo;imposer aux employ&eacute;s d'appeler les fournisseurs (en utilisant le num&eacute;ro de t&eacute;l&eacute;phone inscrit dans vos dossiers et non celui qui est inscrit sur le courriel) avant de proc&eacute;der au virement.</li>
</ul>

Ingénierie sociale : votre entreprise est menacée par des fautes humaines

Une atteinte aux donn&eacute;es est une urgence organisationnelle qui doit &ecirc;tre g&eacute;r&eacute;e rapidement et efficacement pour att&eacute;nuer les pertes et rester du bon c&ocirc;t&eacute; de la conformit&eacute;. Lorsqu&rsquo;un tel &eacute;v&eacute;nement se produit, de nombreuses organisations font appel &agrave; un accompagnateur en atteinte aux donn&eacute;es : le &laquo; premier r&eacute;pondant &raquo; appel&eacute; &agrave; diriger l&rsquo;intervention et le r&eacute;tablissement. Habituellement, un accompagnateur en mati&egrave;re d&rsquo;atteinte aux donn&eacute;es est un avocat sp&eacute;cialis&eacute; en cybers&eacute;curit&eacute; et en droit &agrave; la vie priv&eacute;e. Il agit &agrave; titre de gestionnaire de projet et oriente l&rsquo;organisation en ce qui a trait &agrave; la meilleure marche &agrave; suivre, avec l&rsquo;aide d&rsquo;une &eacute;quipe qu&rsquo;il constitue &agrave; partir d&rsquo;une diversit&eacute; de disciplines. L&rsquo;&eacute;quipe peut compter des experts en TI, en criminalistique, en droit, en r&eacute;glementation et en communication, dont la contribution peut &ecirc;tre requise pour aider &agrave; g&eacute;rer l&rsquo;atteinte. 1 Pourquoi travailler avec un accompagnateur en mati&egrave;re d&rsquo;atteinte aux donn&eacute;es? Comme dans bien d&rsquo;autres situations de gestion de crise, votre personnel interne n&rsquo;a peut-&ecirc;tre pas l&rsquo;expertise n&eacute;cessaire pour g&eacute;rer une atteinte aux donn&eacute;es ou il se peut que vous pr&eacute;f&eacute;riez que vos employ&eacute;s cl&eacute;s demeurent concentr&eacute;s sur leurs responsabilit&eacute;s habituelles. Le fait de confier &agrave; un expert juridique le soin de g&eacute;rer la situation est avantageux, puisque celui-ci comprend les lois relatives aux exigences de notification et a de l&rsquo;exp&eacute;rience pour travailler avec les organismes de r&eacute;glementation sur les enjeux comme les amendes et les p&eacute;nalit&eacute;s. De plus, comme l&rsquo;a soulign&eacute; un expert juridique, en tant qu&rsquo;avocats, les accompagnateurs en mati&egrave;re d&rsquo;atteinte aux donn&eacute;es peuvent pr&eacute;server la confidentialit&eacute; de vos renseignements gr&acirc;ce au secret professionnel, ce qui peut bonifier davantage la protection et la s&eacute;curit&eacute; de vos communications. 2 Les accompagnateurs en mati&egrave;re d&rsquo;atteinte aux donn&eacute;es interviennent dans trois principaux domaines:
<ol type="1">
<li>Enqu&ecirc;tes relatives aux atteintes :Un accompagnateur en mati&egrave;re d&rsquo;atteinte aux donn&eacute;es peut vous aider &agrave; retenir les services d&rsquo;une entreprise de criminalistique informatique pour enqu&ecirc;ter sur la cause et la port&eacute;e de l&rsquo;atteinte. Les &eacute;quipes de criminalistique travaillent &agrave; identifier le type de piratage, les approches utilis&eacute;es, la source et l&rsquo;&eacute;ch&eacute;ancier, de m&ecirc;me qu&rsquo;&agrave; d&eacute;terminer la meilleure fa&ccedil;on de r&eacute;cup&eacute;rer des donn&eacute;es compromises. 3 Elles pr&eacute;servent &eacute;galement toutes les preuves n&eacute;cessaires et peuvent travailler avec l&rsquo;accompagnateur en mati&egrave;re d&rsquo;atteinte aux donn&eacute;es pour rep&eacute;rer les &eacute;ventuels enjeux juridiques et questions de conformit&eacute;. 4</li>
</ol>
<ol type="1" start="2">
<li>Exigences en mati&egrave;re de notification:&nbsp;Un accompagnateur en mati&egrave;re d&rsquo;atteinte aux donn&eacute;es analysera les faits r&eacute;v&eacute;l&eacute;s par les ressources en criminalistique pour d&eacute;terminer quelles mesures vous devez prendre dans un contexte juridique afin de faire en sorte que votre entreprise demeure conforme &agrave; la r&eacute;glementation. Les obligations juridiques peuvent notamment comprendre l&rsquo;envoi d&rsquo;un avis signalant l&rsquo;atteinte aux personnes touch&eacute;es et aux organismes de r&eacute;glementation, selon la nature des renseignements compromis. Par exemple, au Canada, une atteinte impliquant un &laquo; risque r&eacute;el de pr&eacute;judice grave &raquo; pour des personnes doit &ecirc;tre d&eacute;clar&eacute;e au Commissariat &agrave; la protection de la vie priv&eacute;e du Canada. La notion de risque r&eacute;el de pr&eacute;judice grave est d&eacute;termin&eacute;e selon la nature sensible des renseignements vis&eacute;s par l&rsquo;atteinte et la probabilit&eacute; d&rsquo;une mauvaise utilisation de ceux-ci. 5&nbsp;</li>
</ol>
<ol type="1" start="3">
<li>Communications en situation de crise:&nbsp;Un accompagnateur en mati&egrave;re d&rsquo;atteinte aux donn&eacute;es peut retenir les services de professionnels en communications en situation de crise pour veiller &agrave; la planification et &agrave; la gestion appropri&eacute;es de toute communication se rapportant &agrave; une atteinte aux donn&eacute;es. Cela peut notamment contribuer &agrave; la r&eacute;duction de risques comme les atteintes &agrave; la r&eacute;putation de votre entreprise. 6 L&rsquo;&eacute;quipe peut d&eacute;terminer comment les personnes touch&eacute;es par l&rsquo;atteinte doivent &ecirc;tre alert&eacute;es, quelles d&eacute;clarations doivent &ecirc;tre faites &agrave; la population et aux m&eacute;dias et comment communiquer avec les autorit&eacute;s. Elle peut aussi fournir leurs coordonn&eacute;es et g&eacute;rer les demandes de renseignements des clients et des m&eacute;dias.&nbsp; 7,8</li>
</ol>
En cas d&rsquo;atteinte aux donn&eacute;es, il est important de r&eacute;pondre rapidement et correctement. Si votre organisation n&rsquo;a pas les ressources internes n&eacute;cessaires pour g&eacute;rer les enjeux juridiques et les questions de conformit&eacute;, il serait avis&eacute; de confier la d&eacute;marche &agrave; un accompagnateur en mati&egrave;re d&rsquo;atteinte aux donn&eacute;es. Les accompagnateurs en mati&egrave;re d&rsquo;atteinte aux donn&eacute;es sont de pr&eacute;cieuses sources d&rsquo;information et d&rsquo;expertise et peuvent contribuer &agrave; all&eacute;ger le poids qui pourrait peser sur vos &eacute;paules en p&eacute;riode de crise. Ce que vous devez savoir sur la d&eacute;claration obligatoire des atteintes aux mesures de s&eacute;curit&eacute;, Commissariat &agrave; la protection de la vie priv&eacute;e du Canada, octobre 2018
Sources: 1 <a rel="noreferrer noopener" href="https://www.siskinds.com/data-breach-frequently-asked-questions/" target="_blank">&ldquo;Data Breach: Frequently Asked Questions,&rdquo;</a>Siskinds, Mai 2020 2,6 <a rel="noreferrer noopener" href="https://www.forbes.com/sites/forbestechcouncil/2019/07/29/why-your-company-should-secure-a-breach-coach/?sh=244dc8006b76" target="_blank">&ldquo;Why Your Company Should Secure A Data Breach Coach,&rdquo;</a> Forbes, 29 juillet 2019 3,4 <a rel="noreferrer noopener" href="https://securecyberdefense.com/digital-forensics-identifying-the-who-what-when-and-how-of-cyberattacks-2/" target="_blank">&ldquo;Digital Forensics: Identifying the Who, What, When and How of Cyber Attacks,&rdquo;</a> Secure Cyber Defense 5 &ldquo; <a rel="noreferrer noopener" href="https://www.priv.gc.ca/en/privacy-topics/business-privacy/safeguards-and-breaches/privacy-breaches/respond-to-a-privacy-breach-at-your-business/gd_pb_201810/#_Part_6" target="_blank">What you need to know about mandatory reporting of breaches of security safeguards,&rdquo; </a>Office of the Privacy Commissioner of Canada, octobre 2018 7 <a rel="noreferrer noopener" href="https://www.pushkinpr.com/blog/crisis-communications-plan-data-breaches/" target="_blank">&ldquo;A Crisis Communications Plan for Data Breaches,&rdquo;</a> Pushkin PR 8 <a rel="noreferrer noopener" href="https://medium.com/@crisisPR/why-your-company-needs-a-data-breach-communications-plan-6dd3488bb3e3" target="_blank">&ldquo;Why Your Company Needs a Data Breach Communications Plan,&rdquo; </a>Medium, 9 mars 2020

Avez-vous besoin d’un accompagnateur en matière d’atteinte aux données ?

Suivez ces cinq conseils pour aider &agrave; renforcer les cyberd&eacute;fenses de votre entreprise, prot&eacute;ger vos employ&eacute;s contre la r&eacute;ception de contenu malveillant et renforcer vos d&eacute;fenses en informant en permanence vos employ&eacute;s des meilleures pratiques de s&eacute;curit&eacute; et d&rsquo;escroqueries.

25 Termes de cybersécurité que votre équipe de sécurité TI ne devrait pas être seule à connaître

Partager les ressources d’Anchor

Les incontournables

Mots clés

Publications en vedette

25 Termes de cybersécurité que votre équipe de sécurité TI ne devrait pas être seule à connaître

Cinq étapes pour gérer une atteinte aux données

Cinq façons de renforcer votre stratégie de sécurité informatique avec la formation des employés