Je m'intéresse à l'application de la Loi 25 et la cybersécurité

Annie_Leblond · Janvier 18, 2023, 10:15

Bonjour,

Aujourd’hui, j’ai assisté à une formation pour l’application de la Loi 25. Cette formation était adaptée pour les travailleurs autonomes, notamment les coach.

J’ai compris qu’il y avait 2 volets à cette loi : la première concernant la protection des renseignements personnels, et le 2e volet sur la protection de nos environnements virtuels (cybersécurité).

C’était franchement décourageant. À la fin de la formation, j’avais juste envie de retourner dans les années 60. Je me sentais tellement vulnérable.

Si je veux faire faire un audit en cybersécurité, auriez-vous une firme à me référer?
Connaissez-vous un/une avocat.e que je pourrais consulter et qui pourrait m’aider à faire l’application de cette loi sur mon site Internet? Ça prend un avocat allumé sur les technologies du web et la portée de cette technologie sur nos données.

Est-ce que ça vous inquiète la cybersécurité? Dans la formation, on dit que 60% des PME ont été piratés récemment. Ça fait pas mal de monde non?

Comme j’offre des cours en ligne, et tout mon offre de service est en ligne cela me préoccupe beaucoup.

J’aimerais vos avis à ce sujet.

Robolivier · Janvier 18, 2023, 10:17

Salut @Annie_Leblond,

Je comprends que tu cherches une firme pour faire un audit en cybersécurité et un avocat pour t’aider à appliquer la Loi 25 sur ton site Internet.

Il existe plusieurs entreprises qui peuvent t’aider à mettre en place des mesures de sécurité et à appliquer la Loi 25. Par exemple, Secureworks offre des services d’audit et de conseil en cybersécurité et KPMG propose des services de protection contre les cyberattaques.

En ce qui concerne l’application de la Loi 25, tu peux contacter un avocat spécialisé dans le droit des technologies de l’information pour obtenir des conseils juridiques sur la façon dont tu peux te conformer à cette loi. Tu peux également consulter le site Web du gouvernement du Québec pour obtenir plus d’informations sur la Loi 25 et ses exigences en matière de protection des données personnelles.

En ce qui concerne ta question sur la cybersécurité et les PME, il est vrai que les cyberattaques sont une préoccupation croissante pour les entreprises de toutes tailles, y compris les PME. Selon une étude récente menée par McAfee, 60% des PME ont subi une attaque informatique au cours du dernier trimestre seulement, ce qui montre l’importance d’investir dans la cybersécurité pour protéger votre entreprise contre les cybermenaces actuelles et futures.

Pascal_Cabana · Janvier 19, 2023, 12:29

@aicha peut-être que tu peux nous diriger un peu

Olivier_Lambert · Janvier 20, 2023, 5:12

@JP_CyberSwat !!

@aicha

C’est certains que, si la personne qui fait la conférence vend également le service pour régler le problème qu’elle te présente, elle a un gros incitatif à montrer ça comme si c’était la fin du monde!

Grosso-moddo, si tu veux être « safe », tu peux simplement te contenter de respecter les meilleures pratiques.

Utilises LastPass ou OnePassword pour avoir de longs mots de passes qui sont tous différents.

Utilise un très long mot de passe pour ton OnePassword. La longueur est le facteur le plus important pour la sécurité. Utilise des paroles de chansons pour pouvoir facilement t’en rappeler.

Installe iThemes Security sur ton WordPress, utilise le moins de plugins possible et garde les à jour.

Utilise le 2FA (two factor authentication) à chaque fois qu’on te le propose. Préférablement via une app comme Google Authenticator et non par email et sms puisque ces derniers peuvent se faire hacker.

Quant aux dangers des poursuites en lien avec la loi 25, c’est un peu comme avec la loi C-28.

Écoute cette vidéo pour comprendre ce que je veux dire:

C’est aussi important de comprendre que, si tu utilises Stripe, tu n’as aucun numéro de carte de crédit sur ta base de donnée. C’est important de regarder le « worst case scenario » et te demander « c’est quoi le pire qui arrive si toute mes données deviennent public ».

Pour La Tranchée, je n’ai que des adresses courriel et des noms… Si on se fait hacker, le défis est plus de repartir le site web et de redevenir opérationnel le plus vite possible. D’où l’importance de tes backups!

Du côté personnel, regarde ce que tu as dans ton Google Drive, DropBox et ces autres trucs-là… As-tu des informations sensible? Si oui, ce serait une bonne idée de les archiver sur un disque dur externe et de garder ça chez toi dans un coffre de sureté.

Annie_Leblond · Janvier 21, 2023, 4:34

Tout d’abord, merci @Olivier_Lambert d’avoir pris le temps de me répondre. Comme c’est un sujet important, j’apprécie ces informations. Cela me permet de mettre ce que j’ai appris en contexte. Merci aussi pour les références. J’ai déjà en place la plupart des choses que tu proposes, et je vais jeter un coup d’oeil pour le reste.

Tout à fait, et c’est pourquoi je prends le temps de contre-vérifier ces infos. Cependant, les incidents de hacking sont en augmentation, et je préfère prévoir que de réagir, le mieux possible du moins, ou avoir un plan B au cas où.

Je suis tout à fait d’accord avec toi et merci pour la vidéo, ça met tellement les choses en perspective. Mais j’ai des doutes avec ces lois. J’ai parfois l’impression que le gouvernement ne sait pas ce qu’il fait. Je ne suis pas certaine qu’ils comprennent notre réalité d’entrepreneurs du web. La Loi 25 s’adresse autant aux solopreneurs comme moi qu’aux multinationales. Il n’y a pas de gradation ou de mise en contexte. Donc, je suis méfiante.

C’est le cas et cela ne m’inquiète pas.

En effet.

En effet! En tant que coach (mon business s’en rapproche), j’ai des infos persos de mes clients. Je vais tous les sortir et les mettre sur un disque dur.

L’idée c’est d’en être conscient et de faire ce qu’il faut. Il n’en demeure pas moins que cette Loi sera totalement en application à partir de septembre 2023. Une partie l’est déjà.

Encore une fois, mille mercis pour tes conseils!

aicha · Janvier 23, 2023, 2:04

Salut @Annie_Leblond! Tu peux m’envoyer un courriel à aicha@artylaw.ca (merci @Olivier_Lambert & @Pascal_Cabana pour la référence).

Pour ce qui est du commentaire du formateur concernant le nombre d’entreprises qui se sont fait pirater, je sais que dans beaucoup d’entreprises, on est loin des bonnes pratiques de base et plus une entreprise a d’employés, plus il y a de risques de failles.

Beaucoup d’entreprises ne réalisent même pas la quantité d’informations personnelles qu’elles possèdent, certaines ont des infos sensibles en clair dans des fichiers excel, etc. Je ne pense que la conformité soit si complexe que cela en général. Je crois toutefois que beaucoup d’entreprises partent de très loin.

Bref, on peut en jaser!

Annie_Leblond · Janvier 23, 2023, 3:30

Bonjour Aicha,

Merci pour ta disponibilité. Je vais communiquer avec toi.

Tout à fait. Le formateur insistait sur ce point. La formation visait les coach professionnels. Des données sensibles, ils en ont beaucoup.

Alors, à bientôt!

Olivier_Lambert · Février 3, 2023, 11:26

Nomme-moi UNE instance où le gouvernement a démontré sa compétence en technologie? …

Exact! Souvent, hacker une entreprise est aussi simple que de laisser trainer une clef usb malicieuse dans le lobby de l’entreprise.

Des mots de passe dans un document word… Lol!!!