{"id":2536,"date":"2014-02-11T16:00:39","date_gmt":"2014-02-11T15:00:39","guid":{"rendered":"https:\/\/www.okiok.com\/?p=2536"},"modified":"2024-09-23T07:07:00","modified_gmt":"2024-09-23T12:07:00","slug":"limportance-des-politiques-de-securite-au-sein-des-entreprises-2","status":"publish","type":"post","link":"https:\/\/www.okiok.com\/fr\/limportance-des-politiques-de-securite-au-sein-des-entreprises-2\/","title":{"rendered":"L\u2019importance des politiques de s\u00e9curit\u00e9 au sein des entreprises"},"content":{"rendered":"

J\u2019ai assist\u00e9 \u00e0 un s\u00e9minaire de Demateus sur la d\u00e9mat\u00e9rialisation et l\u2019archivage \u00e9lectronique la semaine derni\u00e8re et, en discutant des diff\u00e9rentes mesures de protection des renseignements confidentiels, il m\u2019est venu \u00e0 l\u2019id\u00e9e de r\u00e9diger un blogue sur l\u2019importance de mettre en \u0153uvre et d\u2019appliquer une politique de s\u00e9curit\u00e9 au sein des entreprises. Bon nombre d’entre elles n’appliquent pas de politique de s\u00e9curit\u00e9 et ne connaissent pas non plus l’\u00e9tendue des ressources informationnelles dont elles disposent. Compte tenu de l’\u00e9volution des technologies de l’information, il est non seulement prudent mais aussi strat\u00e9gique que de se doter d’une politique ferme de s\u00e9curit\u00e9 de l’information.<\/span><\/strong><\/p>\n

Bien que le sujet soit vaste et que les avantages puissent \u00eatre nombreux, nous nous limiterons \u00e0 4 points qui nous apparaissent essentiels :<\/span><\/p>\n

1) Identifier et g\u00e9rer les risques de s\u00e9curit\u00e9<\/strong><\/p>\n

Sans politique de s\u00e9curit\u00e9 effective et mise \u00e0 jour r\u00e9guli\u00e8rement, une entreprise court plusieurs risques, tels que la destruction de documents qui doivent \u00eatre conserv\u00e9s ou l\u2019alt\u00e9ration involontaire de donn\u00e9es. Une des fonctions d’une politique de s\u00e9curit\u00e9 est donc d’anticiper les risques de s\u00e9curit\u00e9 et de pr\u00e9voir les mesures pour les r\u00e9duire, sinon les \u00e9liminer. Certes, les risques varieront d\u2019une PME \u00e0 une grande organisation. Mais il est ind\u00e9niable qu\u2019une bonne gestion des risques permettra de limiter les menaces et ainsi, de pr\u00e9venir les impacts, qu\u2019ils soient d\u2019ordre juridique ou \u00e9conomique.<\/p>\n

Pour bien \u00e9valuer les risques d’un syst\u00e8me, il convient non seulement d’en \u00e9valuer les vuln\u00e9rabilit\u00e9s techniques, mais de faire un exercice pr\u00e9alable de classification et de quantification de l\u2019information. Ceci a pour but d’identifier et de cat\u00e9goriser tous les renseignements personnels et confidentiels qu’une organisation d\u00e9tient, pour ensuite d\u00e9terminer les mesures de s\u00e9curit\u00e9 qu’il convient de mettre en place pour chaque type de renseignement. Bien que la loi ne prescrit pas la nature exacte des mesures de s\u00e9curit\u00e9 requises pour prot\u00e9ger l\u2019information, elle pr\u00e9voit que \u00ab toute personne qui exploite une entreprise doit prendre les mesures de s\u00e9curit\u00e9 propres \u00e0 assurer la protection des renseignements personnels collect\u00e9s, utilis\u00e9s, communiqu\u00e9s, conserv\u00e9s ou d\u00e9truits et qui sont raisonnables compte tenu, notamment, de leur sensibilit\u00e9, de la finalit\u00e9 de leur utilisation, de leur quantit\u00e9, de leur r\u00e9partition et de leur support \u00bb[1]<\/a>.<\/p>\n

Une bonne gestion des risques signifie \u00e9galement d\u2019encadrer l\u2019utilisation des postes de travail et des m\u00e9dias sociaux par les employ\u00e9s, de fa\u00e7on \u00e0 prot\u00e9ger l\u2019employeur et \u00e0 limiter les dommages qui pourraient d\u00e9couler d\u2019une divulgation non autoris\u00e9e d\u2019information. Par ailleurs, une politique devrait pr\u00e9voir quelles sont les technologies \u00e0 mettre en place pour garantir l\u2019authenticit\u00e9 des documents \u00e9mis, la mani\u00e8re dont les cl\u00e9s de chiffrement sont g\u00e9r\u00e9es, les droits d\u2019acc\u00e8s \u00e0 l\u2019int\u00e9rieur de l\u2019entreprise et le processus de gestion des incidents de s\u00e9curit\u00e9, notamment. Notons que la gestion des incidents peut faire l’objet d’une politique s\u00e9par\u00e9e ou \u00eatre incorpor\u00e9e \u00e0 une politique g\u00e9n\u00e9rale de s\u00e9curit\u00e9 de l’information.<\/p>\n

2) Assurer la conformit\u00e9 dans le traitement de l’information<\/strong><\/p>\n

Rien ne pr\u00e9cise dans la loi ce que doit contenir une politique de s\u00e9curit\u00e9. Par contre, diverses r\u00e8gles relatives au traitement de l\u2019information ont \u00e9t\u00e9 pr\u00e9vues par le l\u00e9gislateur, notamment en ce qui a trait \u00e0 la confidentialit\u00e9, \u00e0 l\u2019int\u00e9grit\u00e9 et \u00e0 l\u2019accessibilit\u00e9 des donn\u00e9es. Par exemple, la Loi concernant le cadre juridique des technologies de l\u2019information<\/a><\/i> oblige les organisations \u00e0 pr\u00e9server l\u2019int\u00e9grit\u00e9 des documents technologiques pour que ceux-ci puissent conserver leur valeur probante. Il faut \u00e9galement tenir compte des dispositions pr\u00e9vues \u00e0 la Loi sur la protection des renseignements personnels dans le secteur priv\u00e9<\/a> <\/i>concernant, par exemple, l’exigence de consentement \u00e0 la collecte des renseignements personnels, les droits d’acc\u00e8s et de destruction de ceux-ci. D\u2019autre part, des r\u00e8gles sp\u00e9cifiques de r\u00e9tention ou de conservation des donn\u00e9es peuvent \u00eatre pr\u00e9vues par des lois particuli\u00e8res \u00e0 certains domaines, tels que les lois fiscales, les droits de propri\u00e9t\u00e9 intellectuelle, les lois r\u00e9gissant les donn\u00e9es m\u00e9dicales et certains d\u00e9lais de prescription. Une politique de s\u00e9curit\u00e9 \u00e9labore ainsi les r\u00e8gles et proc\u00e9dures \u00e0 mettre en oeuvre compte tenu de tous les risques identifi\u00e9s et des obligations l\u00e9gislatives g\u00e9n\u00e9rales et exclusives \u00e0 certains types de renseignement.<\/p>\n

Soulignons par ailleurs que, bien qu\u2019il n\u2019existe pas \u00e0 l\u2019heure actuelle d\u2019obligation explicite de pr\u00e9servation des documents en pr\u00e9vision d\u2019un litige au Qu\u00e9bec, les principes de Sedona Canada disposent que d\u00e8s qu\u2019il est raisonnable d\u2019anticiper une poursuite, une entreprise devrait \u00ab imm\u00e9diatement prendre de bonne foi des mesures raisonnables afin de pr\u00e9server les documents \u00e9lectroniques potentiellement pertinents \u00bb[1]<\/a>.\u00a0\u00c0 cet \u00e9gard, notons que l’article Art. 4.1 du Code de proc\u00e9dure civile du Qu\u00e9bec<\/em> pr\u00e9voit que les parties \u00e0 une instance doivent agir de bonne foi et ne pas nuire \u00e0 autrui de mani\u00e8re excessive ou d\u00e9raisonnable.<\/p>\n

3) Optimiser la gestion des ressources informationnelles<\/strong><\/p>\n

Comme l\u2019a si bien expliqu\u00e9 Jean-Marc Rietsch lors du s\u00e9minaire de Demateus, la conservation et l\u2019archivage des donn\u00e9es sont des \u00e9l\u00e9ments essentiels de l\u2019\u00e9conomie num\u00e9rique. Effectivement, une bonne gestion des ressources permet d\u2019organiser l\u2019information de fa\u00e7on \u00e0 optimiser les processus de traitement. Ainsi, une entreprise devrait veiller \u00e0 ne pas conserver inutilement de l’information et, de ce fait, s\u2019assurer que les donn\u00e9es ne portent pas pr\u00e9judice \u00e0 l\u2019entreprise dans la gestion du ediscovery, le cas \u00e9ch\u00e9ant. Comme le soulignait l’avocate Isabelle Renard, plus l\u2019information est difficile \u00e0 g\u00e9rer, et plus les litiges risquent de co\u00fbter cher. Une politique de s\u00e9curit\u00e9 permet ainsi de quantifier en quelque sorte le processus documentaire.<\/p>\n

Qui plus est, il peut \u00eatre tr\u00e8s avantageux pour une entreprise d’appliquer une politique de gestion des incidents de s\u00e9curit\u00e9. La documentation des incidents permet d’en faire une analyse post-mortem<\/em> et de savoir si l’incident aurait pu \u00eatre \u00e9vit\u00e9. Une \u00e9valuation des pertes financi\u00e8res et des impacts d\u00e9coulant de l’incident peut \u00e9galement permettre de faire des recommandations \u00e0 la direction sur l’am\u00e9lioration des activit\u00e9s pr\u00e9ventives et servir de preuve dans un contexte litigieux, le cas \u00e9ch\u00e9ant.<\/p>\n

4) Favoriser la coh\u00e9rence dans la gestion et la s\u00e9curit\u00e9 de l\u2019information<\/strong><\/p>\n

Mettre en \u0153uvre une politique de s\u00e9curit\u00e9 servira \u00e0 uniformiser le traitement de l\u2019information et \u00e0 y pr\u00e9voir des r\u00e8gles sp\u00e9cifiques. \u00c0 une \u00e9chelle plus globale toutefois, il est important de pr\u00e9voir une politique-cadre sur la gouvernance et la gestion de l\u2019information, laquelle a pour but de d\u00e9finir les orientations g\u00e9n\u00e9rales de l\u2019entreprise dans le traitement et la s\u00e9curit\u00e9 de ses actifs informationnels. On y inscrit, par exemple, les diff\u00e9rents r\u00f4les et responsabilit\u00e9s et certaines r\u00e9f\u00e9rences en mati\u00e8re de normes techniques de gestion de l\u2019information (par exemple, la norme ISO\/IEC 27001<\/a>). Tout employ\u00e9, cadre ou mandataire de l\u2019entreprise dispose ainsi d\u2019une vue d\u2019ensemble et d\u2019un plan d\u2019action qu\u2019il doit conna\u00eetre et mettre en \u0153uvre. Une politique-cadre assure que les documents sont tous trait\u00e9s de fa\u00e7on coh\u00e9rente par les diff\u00e9rents d\u00e9partements conform\u00e9ment aux r\u00e8gles d\u2019\u00e9thique et de gouvernance de l\u2019entreprise. Soulignons que lorsque les politiques de s\u00e9curit\u00e9 sont appliqu\u00e9es \u00e0 l’ensemble d’une organisation, elles doivent normalement \u00eatre ent\u00e9rin\u00e9es par le conseil d’administration de l’entreprise.<\/p>\n

****<\/p>\n

Id\u00e9alement, toute organisation devrait d\u00e9signer un responsable de la s\u00e9curit\u00e9 de l\u2019information ayant pour principale mission de s’assurer que les ressources informationnelles et les droits d’acc\u00e8s sont conformes aux politiques de s\u00e9curit\u00e9 mises en place par l’organisation. Qui plus est, mettre en oeuvre et planifier de fa\u00e7on strat\u00e9gique la gestion de l’information peut s’av\u00e9rer b\u00e9n\u00e9fique sur le plan de l\u2019\u00e9conomie num\u00e9rique.<\/p>\n

\n
\n
\n

<\/a>[1] Art. 10, Loi sur la protection des renseignements personnels dans le secteur priv\u00e9<\/i>, c. P-3.1.<\/p>\n<\/div>\n

\n

<\/a>[2] Les principes de Sedona Canada sont disponibles \u00e0 l\u2019adresse suivante : <https:\/\/www.lexum.com<\/a>>.<\/p>\n<\/div>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

J\u2019ai assist\u00e9 \u00e0 un s\u00e9minaire de Demateus sur la d\u00e9mat\u00e9rialisation et l\u2019archivage \u00e9lectronique la semaine derni\u00e8re et, en discutant des diff\u00e9rentes mesures de protection des renseignements confidentiels, il m\u2019est venu \u00e0 l\u2019id\u00e9e de r\u00e9diger un blogue sur l\u2019importance de mettre en \u0153uvre et d\u2019appliquer une politique de s\u00e9curit\u00e9 au sein des entreprises. Bon nombre d’entre […]<\/p>\n","protected":false},"author":9,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[173],"tags":[],"class_list":["post-2536","post","type-post","status-publish","format-standard","hentry","category-blogue-fr"],"yoast_head":"\nL\u2019importance des politiques de s\u00e9curit\u00e9 au sein des entreprises | OKIOK<\/title>\n<meta name=\"description\" content=\"Nos experts se penchent sur l\u2019importance de mettre en \u0153uvre et d\u2019appliquer une politique de s\u00e9curit\u00e9 informatique fonctionnelle au sein des entreprises.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<meta property=\"og:locale\" content=\"fr_FR\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"L\u2019importance des politiques de s\u00e9curit\u00e9 au sein des entreprises | OKIOK\" \/>\n<meta property=\"og:description\" content=\"Nos experts se penchent sur l\u2019importance de mettre en \u0153uvre et d\u2019appliquer une politique de s\u00e9curit\u00e9 informatique fonctionnelle au sein des entreprises.\" \/>\n<meta property=\"og:site_name\" content=\"OKIOK - Securit\u00e9 dans un monde en changement\" \/>\n<meta property=\"article:publisher\" content=\"https:\/\/www.facebook.com\/okiokdata\/\" \/>\n<meta property=\"article:published_time\" content=\"2014-02-11T15:00:39+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2024-09-23T12:07:00+00:00\" \/>\n<meta name=\"author\" content=\"Julie M. Gauthier, avocate\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:creator\" content=\"@OKIOKdata\" \/>\n<meta name=\"twitter:site\" content=\"@OKIOKdata\" \/>\n<meta name=\"twitter:label1\" content=\"\u00c9crit par\" \/>\n\t<meta name=\"twitter:data1\" content=\"Julie M. Gauthier, avocate\" \/>\n\t<meta name=\"twitter:label2\" content=\"Dur\u00e9e de lecture estim\u00e9e\" \/>\n\t<meta name=\"twitter:data2\" content=\"6 minutes\" \/>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"L\u2019importance des politiques de s\u00e9curit\u00e9 au sein des entreprises | OKIOK","description":"Nos experts se penchent sur l\u2019importance de mettre en \u0153uvre et d\u2019appliquer une politique de s\u00e9curit\u00e9 informatique fonctionnelle au sein des entreprises.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"og_locale":"fr_FR","og_type":"article","og_title":"L\u2019importance des politiques de s\u00e9curit\u00e9 au sein des entreprises | OKIOK","og_description":"Nos experts se penchent sur l\u2019importance de mettre en \u0153uvre et d\u2019appliquer une politique de s\u00e9curit\u00e9 informatique fonctionnelle au sein des entreprises.","og_site_name":"OKIOK - Securit\u00e9 dans un monde en changement","article_publisher":"https:\/\/www.facebook.com\/okiokdata\/","article_published_time":"2014-02-11T15:00:39+00:00","article_modified_time":"2024-09-23T12:07:00+00:00","author":"Julie M. Gauthier, avocate","twitter_card":"summary_large_image","twitter_creator":"@OKIOKdata","twitter_site":"@OKIOKdata","twitter_misc":{"\u00c9crit par":"Julie M. Gauthier, avocate","Dur\u00e9e de lecture estim\u00e9e":"6 minutes"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/www.okiok.com\/fr\/limportance-des-politiques-de-securite-au-sein-des-entreprises-2\/#article","isPartOf":{"@id":"https:\/\/www.okiok.com\/fr\/limportance-des-politiques-de-securite-au-sein-des-entreprises-2\/"},"author":{"name":"Julie M. Gauthier, avocate","@id":"https:\/\/www.okiok.com\/fr\/#\/schema\/person\/07e676d2a2d03c5e39c6234fff7656b8"},"headline":"L\u2019importance des politiques de s\u00e9curit\u00e9 au sein des entreprises","datePublished":"2014-02-11T15:00:39+00:00","dateModified":"2024-09-23T12:07:00+00:00","mainEntityOfPage":{"@id":"https:\/\/www.okiok.com\/fr\/limportance-des-politiques-de-securite-au-sein-des-entreprises-2\/"},"wordCount":1450,"commentCount":0,"publisher":{"@id":"https:\/\/www.okiok.com\/fr\/#organization"},"articleSection":["Blogue"],"inLanguage":"fr-FR","potentialAction":[{"@type":"CommentAction","name":"Comment","target":["https:\/\/www.okiok.com\/fr\/limportance-des-politiques-de-securite-au-sein-des-entreprises-2\/#respond"]}]},{"@type":"WebPage","@id":"https:\/\/www.okiok.com\/fr\/limportance-des-politiques-de-securite-au-sein-des-entreprises-2\/","url":"https:\/\/www.okiok.com\/fr\/limportance-des-politiques-de-securite-au-sein-des-entreprises-2\/","name":"L\u2019importance des politiques de s\u00e9curit\u00e9 au sein des entreprises | OKIOK","isPartOf":{"@id":"https:\/\/www.okiok.com\/fr\/#website"},"datePublished":"2014-02-11T15:00:39+00:00","dateModified":"2024-09-23T12:07:00+00:00","description":"Nos experts se penchent sur l\u2019importance de mettre en \u0153uvre et d\u2019appliquer une politique de s\u00e9curit\u00e9 informatique fonctionnelle au sein des entreprises.","breadcrumb":{"@id":"https:\/\/www.okiok.com\/fr\/limportance-des-politiques-de-securite-au-sein-des-entreprises-2\/#breadcrumb"},"inLanguage":"fr-FR","potentialAction":[{"@type":"ReadAction","target":["https:\/\/www.okiok.com\/fr\/limportance-des-politiques-de-securite-au-sein-des-entreprises-2\/"]}]},{"@type":"BreadcrumbList","@id":"https:\/\/www.okiok.com\/fr\/limportance-des-politiques-de-securite-au-sein-des-entreprises-2\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/prod.okiok.com\/fr\/"},{"@type":"ListItem","position":2,"name":"L\u2019importance des politiques de s\u00e9curit\u00e9 au sein des entreprises"}]},{"@type":"WebSite","@id":"https:\/\/www.okiok.com\/fr\/#website","url":"https:\/\/www.okiok.com\/fr\/","name":"OKIOK - Securit\u00e9 dans un monde en changement","description":"","publisher":{"@id":"https:\/\/www.okiok.com\/fr\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/www.okiok.com\/fr\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"fr-FR"},{"@type":"Organization","@id":"https:\/\/www.okiok.com\/fr\/#organization","name":"Okiok","url":"https:\/\/www.okiok.com\/fr\/","logo":{"@type":"ImageObject","inLanguage":"fr-FR","@id":"https:\/\/www.okiok.com\/fr\/#\/schema\/logo\/image\/","url":"https:\/\/www.okiok.com\/wp-content\/uploads\/2017\/06\/logo-okiok-2.png","contentUrl":"https:\/\/www.okiok.com\/wp-content\/uploads\/2017\/06\/logo-okiok-2.png","width":300,"height":369,"caption":"Okiok"},"image":{"@id":"https:\/\/www.okiok.com\/fr\/#\/schema\/logo\/image\/"},"sameAs":["https:\/\/www.facebook.com\/okiokdata\/","https:\/\/x.com\/OKIOKdata","https:\/\/www.linkedin.com\/company-beta\/119436\/"]},{"@type":"Person","@id":"https:\/\/www.okiok.com\/fr\/#\/schema\/person\/07e676d2a2d03c5e39c6234fff7656b8","name":"Julie M. Gauthier, avocate","image":{"@type":"ImageObject","inLanguage":"fr-FR","@id":"https:\/\/www.okiok.com\/fr\/#\/schema\/person\/image\/","url":"https:\/\/www.okiok.com\/wp-content\/litespeed\/avatar\/8039c30897876bf025048bd3cfe15cf6.jpg?ver=1775840742","contentUrl":"https:\/\/www.okiok.com\/wp-content\/litespeed\/avatar\/8039c30897876bf025048bd3cfe15cf6.jpg?ver=1775840742","caption":"Julie M. Gauthier, avocate"}}]}},"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.okiok.com\/fr\/wp-json\/wp\/v2\/posts\/2536","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.okiok.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.okiok.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.okiok.com\/fr\/wp-json\/wp\/v2\/users\/9"}],"replies":[{"embeddable":true,"href":"https:\/\/www.okiok.com\/fr\/wp-json\/wp\/v2\/comments?post=2536"}],"version-history":[{"count":4,"href":"https:\/\/www.okiok.com\/fr\/wp-json\/wp\/v2\/posts\/2536\/revisions"}],"predecessor-version":[{"id":25930,"href":"https:\/\/www.okiok.com\/fr\/wp-json\/wp\/v2\/posts\/2536\/revisions\/25930"}],"wp:attachment":[{"href":"https:\/\/www.okiok.com\/fr\/wp-json\/wp\/v2\/media?parent=2536"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.okiok.com\/fr\/wp-json\/wp\/v2\/categories?post=2536"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.okiok.com\/fr\/wp-json\/wp\/v2\/tags?post=2536"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}