L’actualité en cybersécurité mai 2024

Tous les mois, on vous dévoile les enjeux de cybersécurité actuels et à venir.

Alors que les bourgeons fleurissent et que le soleil nous réchauffe, nous avons hâte de vous partager ce qui anime notre communauté ce mois-ci. Nous vous mettrons en garde contre certaines applications douteuses et partagerons avec vous les dernières actualités en cybersécurité. Mais, surtout, nous avons une excellente nouvelle à célébrer ensemble. Bonne lecture!

L'actualité en cybersécurité

Une vague de cyberattaques affecte les institutions d’enseignement du Québec

Il semble y avoir une vague de cyberattaques affectant les institutions d’enseignement du Québec. En effet, le Cégep de Lanaudière est paralysé par une cyberattaque survenue le 3 mai dernier, forçant la fermeture de ses quatre établissements et la suspension des cours pour ses 7 000 élèves pendant au moins trois jours. Malgré l’enquête en cours, les experts en cybersécurité n’ont détecté aucune fuite de données.

En savoir plus : https://www.lapresse.ca/actualites/education/2024-05-06/une-cyberattaque-paralyse-le-cegep-de-lanaudiere.php

Des cybercriminels publient des données volées à London Drugs

La chaîne de magasins London Drugs a confirmé que des cybercriminels ont publié des fichiers volés après que l’entreprise a refusé de payer une rançon. Les fichiers pourraient contenir des informations sur les employés, bien que les bases de données des patients ou des clients ne semblent pas avoir été compromises. London Drugs a informé les employés concernés et leur a offert des services de surveillance du crédit et de protection contre le vol d’identité. La brèche, découverte le 28 avril, a forcé la fermeture temporaire des magasins dans l’Ouest canadien.

En savoir plus : https://ici.radio-canada.ca/nouvelle/2075177/london-drugs-cyberattaque-donnees-rancon

La Régie de la santé des Premières Nations de la C.-B. victime d’une cyberattaque

La Régie de la santé des Premières Nations (RSPN) de la Colombie-Britannique a subi une cyberattaque compromettant des données personnelles d’employés et d’autres informations limitées. La RSPN a détecté l’activité le 13 mai. Il n’y a aucune preuve que cette attaque soit liée aux récentes cyberattaques en Colombie-Britannique, incluant celles contre London Drugs et le gouvernement provincial.

En savoir plus : https://ici.radio-canada.ca/nouvelle/2075077/rspn-cyberattaque-donnees-personnel-informatique

Hydro-Québec augmente de 56 % son budget en matière de cybersécurité

Devant une hausse des cybermenaces, Hydro-Québec a augmenté son budget de cybersécurité de 56 %, passant de 52 millions $ en 2020 à 81 millions $ en 2024. Près de 300 personnes seront désormais dédiées à la cybersécurité, contrairement à 147 en 2020. La société d’État met en place des mesures renforcées pour protéger ses infrastructures contre des cyberattaques de plus en plus ciblées et sophistiquées.

En savoir plus : https://www.journaldemontreal.com/2024/05/07/hydro-quebec-fait-bondir-son-budget-cybersecurite-de-56-il-y-a-eu-une-hausse-importante-des-menaces

Ottawa dévoile une nouvelle stratégie de cybersécurité

Le gouvernement fédéral a révélé sa nouvelle stratégie de cybersécurité pour protéger ses systèmes informatiques et ses banques d’informations contre des menaces croissantes. Bien que des progrès aient été réalisés, les dangers en ligne évoluent rapidement, nécessitant un engagement renouvelé dans tous les ministères pour assurer des services numériques sécurisés aux Canadiens. La stratégie reconnaît que le gouvernement est une cible attrayante en raison des renseignements personnels et des données sensibles qu’il détient.

En savoir plus : https://www.lapresse.ca/actualites/politique/2024-05-22/ottawa-devoile-sa-nouvelle-strategie-en-matiere-de-cybersecurite.php

Événements

Protéger nos clients contre les menaces numériques est notre priorité, mais nous avons pris une pause bien méritée ce mois-ci pour renforcer nos liens d’équipe d’une manière un peu différente : une session d’escalade au Roc Gyms de la Ville de Québec! Parce qu’une équipe soudée est la meilleure défense contre toutes les menaces!

Cyberswat est fière d’avoir commandité la 3e édition du Sommet ITSec, l’un des plus grands événements de sécurité informatique au Québec! Pendant deux jours, notre équipe a eu la chance de réseauter et d’assister à des panels d’experts, à des ateliers pratiques et à des conférences sur la cybersécurité, sur la sécurité des TI et sur les fournisseurs de services gérés. Corentin Vadillo et Régis Desmeules étaient heureux de prendre part à cet événement! C’était d’ailleurs une belle occasion pour Régis de rencontrer plusieurs entrepreneurs particulièrement intéressés par son livre Réussir son premier financement. On peut dire qu’il a fait fureur! 😉

Astuce du mois

Économiser, mais à quel prix? 🤔

Comment une application d’apparence banale met-elle en jeu vos données d’entreprise?

C’est un véritable secret de Polichinelle depuis des mois, mais encore trop peu de gens le savent : l’entreprise chinoise Temu, qui se spécialise dans la vente en ligne, propose des produits à prix trop beaux pour être vrais! Qu’est-ce que ça cache?

En plus de proposer des articles de qualité douteuse, Temu perdrait jusqu’à 30 $ US par commande selon le Wired.

Est-ce qu’il s’agit d’une stratégie pour prendre des parts de marché à Amazon afin d’ensuite remonter ses prix? Qui a les moyens de perdre autant d’argent?

Certains pensent que Temu monétise autrement, soit en aspirant vos données!

En effet, l’entreprise est suspectée d’utiliser des logiciels malveillants pour collecter les données personnelles de ses clients telles que les textos, la localisation, les paramètres, les notifications, les contacts, les calendriers, les albums photo et les réseaux sociaux.

C’est sans compter qu’il y aurait des liens possibles entre l’application Temu et Pinduoduo, qui détenait une application confirmée comme espionne de ses utilisateurs. De plus, le gouvernement américain a souligné le risque élevé que Temu contribue au travail forcé de personnes.

Bien que des choses restent encore à prouver, la précaution est fortement conseillée; ultimement, cela pourrait mettre en péril les données de votre entreprise étant donné que vos employés y accèdent déjà depuis leur téléphone!

Un bon conseil serait de les sensibiliser à l’importance de ne pas recourir à ce type d’application. D’ailleurs, nous en parlons dans le cadre de nos ateliers de sensibilisation! 😁 Pour en savoir plus, n’hésitez pas à nous contacter.

Événements à venir

Cyberswat est heureuse de faire partie des finalistes de la catégorie « RH – Meilleures pratiques » de l’édition 2024 de la soirée des Fidéides de la Chambre de commerce et d’industrie de Québec!

Le dévoilement des lauréats aura lieu le 7 novembre prochain lors de cette soirée, qui se veut le plus grand événement du monde des affaires de la grande région de Québec et de Chaudière-Appalaches!

Restez à l’affût et procurez-vous vos billets dès le 5 juin au https://fideides.ca/.

Article du mois

Cyberswat vous propose une série de quatre articles entourant la Loi 25. Ces articles ne constituent pas un avis juridique, mais exposent plutôt notre avis d’expert du domaine de la cybersécurité.

Nous y expliquons les grandes lignes de la Loi 25, ses enjeux et les moyens que vous pouvez prendre pour confirmer à vos clients et à vos employés que vous la respectez. Ce mois-ci, découvrons ensemble pourquoi le Québec s’est doté d’une loi sur la protection des renseignements personnels.

Meme du mois

Sur nos réseaux, nous vous partageons toutes les semaines un meme de cybersécurité pour aider à sensibiliser le maximum de personnes… avec humour. 🙂

Voici le plus populaire des 30 derniers jours :

Partie 1 : pourquoi le Québec s’est-il doté d’une loi sur la protection des renseignements personnels?

Cyberswat vous propose une série de quatre articles entourant la Loi 25 au Qébec . Ces articles ne constituent pas un avis juridique, mais exposent plutôt notre avis d’expert du domaine de la cybersécurité. Nous y expliquons les grandes lignes de la Loi 25, ses enjeux pour les PME et les moyens que vous pouvez prendre pour confirmer à vos clients et à vos employés que vous la respectez. 

Qu’est-ce que la Loi 25 et pourquoi en entendons-nous parler autant? Pourquoi avons-nous besoin d’une telle loi? C’est ce que nous démystifions dans cet article. Nous vous expliquons ici les raisons pour lesquelles ces renseignements personnels ont besoin d’être protégés et pourquoi le Québec a mis en vigueur cette loi.

Depuis quand est-elle appliquée?

La Loi 25 est entrée en vigueur au Québec en septembre 2022, question de protéger la vie privée des individus dans le contexte des activités des secteurs public et privé. Il importe de mentionner qu’il existait déjà au Québec, avant la Loi 25, des lois régissant la protection des renseignements personnels. Néanmoins, elles n’étaient pas aussi sévères qu’elles le sont aujourd’hui.

La Loi 25 impacte principalement deux lois : la Loi sur la protection des renseignements personnels dans le secteur privé et la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels. Bien qu’il existe quelques différences entre elles, nous consacrerons nos efforts au secteur privé dans nos articles.

Qu’est-ce qu’un renseignement personnel?

Avant même d’aller plus loin, il est important de débuter par la compréhension de ce qu’est un renseignement personnel. Un renseignement personnel se définit par toute information qui concerne une personne physique et qui permet de l’identifier, et ce, directement ou indirectement. Cela peut inclure des données telles que le nom, l’adresse, le numéro de téléphone, l’adresse électronique, la date de naissance et le numéro d’assurance sociale ainsi que toute autre information qui, combinée, permettrait de déterminer l’identité d’une personne.

Est-ce que mon entreprise est concernée?

Que votre entreprise permette à vos clients de faire une réservation à l’hôtel, de passer des commandes en ligne, de réserver un rendez-vous dans votre clinique, d’ouvrir un compte client dans votre magasin ou de remplir un formulaire pour un tirage, elle traite probablement des renseignements personnels visés par la Loi 25.

Cela concerne non seulement les renseignements personnels de vos clients, mais également ceux collectés auprès de vos employés et des candidats postulant chez vous pour un emploi.

Le Québec a ainsi voulu se doter de lignes de conduite strictes sur le traitement réservé aux données; peu importe le type et la taille d’entreprise qui collecte les données, les règles sont les mêmes.

Est-ce qu’un renseignement personnel doit être sensible pour être concerné par la Loi?

Un élément clé à retenir : les renseignements personnels que vous collectez n’ont pas besoin d’être sensibles pour devoir être protégés en vertu de la Loi. En effet, même le prénom, le nom et une adresse courriel peuvent être considérés comme un renseignement personnel et se doivent d’être protégés adéquatement. Votre site Web collecte des données sur les personnes qui le consultent? Vous avez une infolettre? Vous êtes concernés!

Certains nous disent parfois : « oui, mais moi je récupère uniquement le nom, le prénom, et le numéro de téléphone… ce sont les mêmes informations que sur Canada411.com! ». Cependant, la raison de cette collecte et le contexte d’utilisation sont différents. Par exemple, pensez-vous que la publication du nom, du prénom et du numéro de téléphone sur Canada411 a le même impact qu’une exfiltration de données de la même liste associée à un cabinet de psychologues?

D’où vient ce besoin d’avoir une loi au Québec? Sommes-nous si distincts?

Ce qu’il faut savoir, c’est que de nombreux pays sur la planète se sont déjà dotés de lois similaires. C’est déjà le cas aux États-Unis, où plusieurs États ont défini leur propre loi, ainsi qu’en Australie et en Europe.

Avec la montée en flèche des piratages informatiques, qui sont combinés à l’industrialisation et à l’exploitation des données par les entreprises, ces lois visent notamment à :

  • demander le consentement des personnes avant de recueillir leurs renseignements;
  • renforcer les mesures de protection des renseignements personnels que les entreprises doivent mettre en place, et ce, de leur collecte à leur destruction;
  • informer les personnes concernées lorsqu’une entreprise a subi une fuite de données.

Au Québec, le législateur s’est principalement inspiré de l’Europe pour la Loi 25, reprenant plusieurs principes du Règlement général sur la protection des données (RGPD). Attention cependant, il ne s’agit pas d’un simple « copier-coller » du RGPD; plusieurs adaptations ont été réalisées afin de mieux refléter le contexte nord-américain ainsi que les valeurs québécoises. 

Au Québec, la Loi 25 vise à assurer que les renseignements personnels sont traités de manière juste, transparente et sécuritaire tout en donnant aux individus un certain contrôle sur leurs données personnelles. En somme, elle vise à établir des normes de protection des renseignements personnels en ligne avec les principes de respect de la vie privée et de protection des droits individuels.

Sans surprise, les entreprises prises en défaut s’exposent à des amendes, mais sont également sujettes à entacher leur image lorsque leurs manquements sont rendus publics.

Par où commencer?

Comme entreprise privée au Québec, de quoi la PME a-t-elle besoin pour établir sa conformité avec la Loi 25? Que devons-nous mettre en place? Quels sont les points à savoir? C’est facile pour une PME de se perdre à travers toutes ces lois, sans parler de la surcharge de travail que nous pouvons entrevoir!

Pour se conformer à la Loi 25, une PME au Québec doit commencer par afficher le nom de la personne responsable de la protection des données personnelles sur son site Web et doit mettre en place des politiques et des pratiques de protection des renseignements personnels qui garantissent le respect des droits des individus et la sécurité des données.

Au-delà des points précédents, il y a quand même plusieurs autres éléments à réaliser, et c’est pour cela que nous avons besoin de plusieurs articles! 😊

D’ici là, chez Cyberswat, nous avons des experts en la matière. Nous avons accompagné près d’une centaine de PME à répondre aux exigences de la Loi 25. Nous pouvons vous accompagner pour les dossiers les plus complexes comme pour les plus simples en réalisant une analyse complète de votre situation ou en vous aidant sur un ou plusieurs points.

N’attendez surtout pas une fuite de données, votre comptable et vos clients vous remercieront!