Les municipalités doivent se préparer aux violations de données
Le plus grand obstacle pour les municipalités est généralement que les principaux décideurs ne comprennent pas la probabilité d’une intrusion et la portée des informations sensibles stockées dans leurs systèmes. Ce manque de vision augmente non seulement la probabilité de perte de données, mais peut également entraîner d’autres problèmes, tels que l’inefficacité organisationnelle et l’incapacité de répondre aux demandes d’accès à l’information.
Articles de blogue
Gouvernements et conformité
Ces dernières années, des fuites de données très médiatisées ont été recensées à tous les paliers de gouvernement. En voici quelques exemples :
- En 2016, Services publics et Approvisionnement Canada a malencontreusement exposé les renseignements personnels de près de 70 000 employés fédéraux en raison d’une combinaison de failles du système et d’erreurs humaines.
- En 2017, le gouvernement fédéral a accepté un règlement après qu’un traitement inapproprié des données a entraîné une fuite des renseignements personnels de plus de 583 000 bénéficiaires de prêts étudiants.
- En 2018, le gouvernement provincial de la Nouvelle-Écosse a connu une infraction impliquant son système FOIPOP qui a permis un accès généralisé à des renseignements personnels confidentiels, avec plus de 7 000 documents consultés avant la détection. Le gouvernement provincial a été critiqué par les organismes de surveillance pour « une mauvaise gestion d’ensemble du projet » et « un grave manque de diligence raisonnable ».
- En 2021, la municipalité régionale de Durham a subi une attaque par rançongiciel à la suite d’une infraction ayant révélé les informations de santé personnelles des citoyens. Cette atteinte à la vie privée a été attribuée à l’utilisation d’un logiciel obsolète présentant des failles de sécurité connues.
Avec ces incidents qui ne cessent de faire les manchettes, le public est de plus en plus au fait de la vulnérabilité de ses données et des conséquences des fuites gouvernementales. Cette prise de conscience pourrait bien mener à des changements de politiques dans un avenir rapproché, car de nombreux intervenants estiment que la Loi sur la protection des renseignements personnels n’est pas suffisante.
Comme tout autre palier de gouvernement, les municipalités doivent se protéger contre ce genre de violation de données. Pour ce faire, le personnel technique doit travailler en étroite collaboration avec les propriétaires de contenu afin de comprendre les exigences et d’apprendre à tous les employés à respecter les normes de conformité.
Le risque des données cachées pour les administrations municipales
Les municipalités doivent comprendre quels types de données sensibles elles gèrent, ainsi que les endroits où elles sont stockées, les façons dont elles sont transmises et les mesures nécessaires pour en assurer la protection.
Il existe toutefois un problème majeur : comme beaucoup d’autres organisations modernes, les gouvernements ont collecté des tonnes de données dont ils n’ont pas toujours conscience de disposer. On parle alors de « données cachées », des données souvent invisibles et ignorées par les organisations qui les collectent.
Les données cachées peuvent être des informations recueillies intentionnellement, mais jamais analysées ou traitées, ou encore des informations collectées par des processus logiciels automatisés qui ne sont pas gérés activement. Il peut aussi s’agir de copies d’informations enregistrées localement, conservées par quelqu’un par simple commodité. Le risque vient du fait que les données cachées contiennent souvent des données d’identification personnelle, des données confidentielles et d’autres informations réglementées ou sensibles.
Une organisation qui n’est pas consciente de l’existence de ces données court un risque : les services informatiques n’adopteront pas les mesures de protection adéquates, et les données ne seront pas prises en compte dans les processus réglementaires de conformité.
Ce risque se révèle encore plus grave lorsqu’on se penche sur les types de données collectées par les gouvernements. Dans de nombreux cas, les données fiscales et foncières, les paiements de factures, les demandes de permis et d’autres dossiers municipaux génèrent de grandes quantités de données cachées vulnérables, et la simple existence de ces données engage la responsabilité de la municipalité.
La réalisation d’un audit des données sur les systèmes d’information des administrations municipales permet souvent de découvrir des données très sensibles stockées de manière non sécurisée, parfois depuis de nombreuses années. Il est tout simplement impossible pour une administration de gérer et de protéger les informations si les personnes responsables de ces processus ne sont pas conscientes de toutes les données en leur possession. C’est pourquoi les organisations gouvernementales doivent impérativement disposer d’une base solide en sécurité des données et d’un plan d’action pour traiter toutes les informations recueillies.
Développer des processus pour sécuriser les données gouvernementales
La première étape du cheminement de votre municipalité vers une meilleure sécurité des données doit se faire à l’interne : il faut d’abord comprendre le type d’informations dont vous disposez, les endroits où elles sont stockées et les risques encourus. Bulletproof peut vous aider dans ces démarches et fournir à votre administration une feuille de route étape par étape pour sécuriser vos données.
Bulletproof propose plusieurs forfaits conçus pour aider les organisations de tous genres à renforcer leur sécurité de l’information. Dans le cadre des démarches de sécurisation des données de votre municipalité, une évaluation de la gestion de l’information aide à faire le point pour comprendre l’état des lieux. L’évaluation de la gestion de l’information de Bulletproof permet de documenter vos technologies et comportements actuels, de recenser les problèmes potentiels et d’obtenir une feuille de route détaillée.
Une fois que votre municipalité a mis en place une base de gestion de l’information, des mesures doivent être adoptées pour garantir la protection des données et le respect des processus. Les systèmes de données présentent couramment certaines vulnérabilités, et les données peuvent être volées par des personnes malveillantes ou fuir à cause de systèmes mal configurés.
L’erreur humaine est également un facteur important dont il faut tenir compte. Les courriels contenant des informations sensibles envoyés par accident, ou encore les données sensibles extraites de manière inappropriée par l’utilisation de clés USB ou transférées sur des sites externes sont des pièges courants pour toutes les catégories d’organisations.
L’engagement relatif au déploiement de la protection de l’information de Bulletproof offre aux municipalités une stratégie et une feuille de route afin de mieux contrôler l’information et de protéger les données par chiffrement en cas de perte ou de vol.
Nous pouvons aider votre administration municipale à atteindre et à maintenir la conformité – et la tranquillité d’esprit. Contactez un spécialiste de Bulletproof dès aujourd’hui pour vous lancer.
À PROPOS DE BULLETPROOF
Possédant des bureaux partout dans le monde, Bulletproof est une entreprise appartenant au groupe GLI avec des décennies d’expérience en TI, en cybersécurité et en conformité. Bulletproof travaille avec des industries de toutes tailles, mettant à profit sa vaste expérience afin de gérer les risques et améliorer les processus, les systèmes et les infrastructures de ses clients.
Bulletproof a été nommée Partenaire de sécurité mondial Microsoft en 2021 pour son excellence dans l’innovation et le déploiement de solutions de sécurité de bout-en-bout.
Bulletproof est également membre de l’Association de sécurité intelligente de Microsoft (MISA).
Partenaire de sécurité Microsoft de l’année en 2021
Lauréat dʼun prix Impact à 5 reprises
Membre de l’Association de sécurité intelligente de Microsoft
Centre des opérations de sécurité (SOC) ultramoderne fonctionnant 24/7
Des utilisateurs sur six continents font confiance à Bulletproof pour la protection de leurs données, de leurs appareils et de leurs personnes.
Profitez de lʼexpertise Bulletproof
Nous sommes là pour vous aider à résoudre vos problèmes informatiques et de sécurité complexes.
Contactez-nous à l'aide de ce formulaire et nous vous mettrons en contact avec un expert de Bulletproof.