Les PME canadiennes ont un nouvel outil pour les aider à prendre les mesures pour se protéger et protéger les informations personnelles en leur possession. Une norme, développée par le Conseil Stratégique des DPI.
Qu’est-ce que la nouvelle norme sur la cybersécurité des PME?
La nouvelle norme, CAN/CIOSC 104:2021, a été élaborée par un comité technique composé de plus de 100 experts en cybersécurité pour établir les contrôles de cybersécurité minimale pour les petites et moyennes organisations qui comptent généralement moins de 500 employés.
Cette norme s’insère dans les exigences de CyberSécuritaire Canada, programme de certification volontaire lancé par Innovation, Sciences et Développement économique Canada (ISDE) et le Centre de la sécurité des télécommunications (CST) qui a pour vocation d’aider les PME à atteindre un niveau raisonnable de cybersécurité.
À qui s’adresse cette nouvelle norme sur la cybersécurité des PME ?
Cette norme s’adresse spécialement aux petites organisations qui ne disposent pas les ressources nécessaires pour concevoir des plans de sécurités personnalisés afin de se conformer aux lois nationales et provinciales. Elle permet d’accompagner les dirigeants de PME et leur équipe dans leurs formations et d’être une ressource de base en matière de cybersécurité. Cette norme permet aussi de bien se préparer aux questions posées par les assureurs afin de payer que pour la couverture dont l’entreprise a besoin. Sur ce dernier sujet, nous vous invitons à lire notre article: Qu’est-ce que l’assurance contre les cybers risques et quelle couverture mon entreprise a-t-elle réellement besoin?
Le gouvernement s’implique : Projet de loi 64 de l’Assemblée nationale du Québec
Le gouvernement québécois a adopté le projet de loi 64 révisant les amendes pour les entreprises n’étant pas diligente dans leur protection des renseignements personnels en leur possession. Cette loi, qui prendra effet le 23 septembre 2023, imposera des sanctions à l’entreprise l’ayant enfreint allant de 15 000 à 25 millions de dollars ou 4% du chiffre d’affaires de l’entreprise.
Comment évaluer le taux de risque ?
La norme comprend un questionnaire pour évaluer le taux de risque des PME afin de les inciter à renforcer la sécurité de leur organisation contre les menaces informatiques.
Voici quelques exemples de questions tirés du questionnaire :
- Les rôles et les responsabilités relatifs aux TI et à la responsabilité des TI sont-ils clairement définis dans votre organisation ?
- Votre organisation a-t-elle un plan d’intervention en cas d’incident ?
- Votre organisation a-t-elle une assurance en matière de cybersécurité ?
- Votre organisation a-telle évalué le préjudice potentiel lié à la confidentialité, à l’intégralité et à l’accessibilité de ses actifs et de ses systèmes d’information ?
Si vous désirez consulter le questionnaire de la norme CAN/CIOSC 104:2021, rendez-vous à la page 28 de la norme (Annexe B).
L’entreprise doit établir un plan d’intervention pour être prête à gérer efficacement les incidents de sécurité. Le document de la norme propose un plan qui définit les rôles, les responsabilités, les types d’incidents, les démarches et les contrôles de base à adopter afin d’être en mesure de réduire le plus possible les conséquences de ces incidents.
Voici un exemple d’une action à entreprendre :
«Application automatique de correctifs aux applications et système d’exploitation » (Ref: Norme CAN/CIOSC 104:2021, page 10)
« Une petite ou moyenne organisation à la possibilité d’activer la mise à jour de ses logiciels et de son matériel, si une telle option est offerte, ou d’envisager de remplacer ses produits par d’autres offrant cette option. Cette mesure comprend le remplacement des logiciels et du matériel qui ne sont plus visés par des mises à jour parce que le fournisseur ne les prend plus en charge (c’est-à-dire des produits ayant terminé leur vie utile). L’organisation s’assure ainsi que ses appareils autonomes, systèmes d’exploitation, applications et logiciels de sécurité sont à jour et exempts de vulnérabilités connues. »
Cette norme est nouvelle et évoluera certainement. Elle est, selon nous, déjà un outil très complet pour formaliser la sécurisation de vos technologies de l’information.
Vous êtes intéressé à comprendre votre posture versus cette norme ou la nouvelle loi 64 du gouvernement québécois, contactez-nous pour obtenir une évaluation sans engagement.