J’ai assisté à un séminaire de Demateus sur la dématérialisation et l’archivage électronique la semaine dernière et, en discutant des différentes mesures de protection des renseignements confidentiels, il m’est venu à l’idée de rédiger un blogue sur l’importance de mettre en œuvre et d’appliquer une politique de sécurité au sein des entreprises. Bon nombre d’entre elles n’appliquent pas de politique de sécurité et ne connaissent pas non plus l’étendue des ressources informationnelles dont elles disposent. Compte tenu de l’évolution des technologies de l’information, il est non seulement prudent mais aussi stratégique que de se doter d’une politique ferme de sécurité de l’information.
Bien que le sujet soit vaste et que les avantages puissent être nombreux, nous nous limiterons à 4 points qui nous apparaissent essentiels :
1) Identifier et gérer les risques de sécurité
Sans politique de sécurité effective et mise à jour régulièrement, une entreprise court plusieurs risques, tels que la destruction de documents qui doivent être conservés ou l’altération involontaire de données. Une des fonctions d’une politique de sécurité est donc d’anticiper les risques de sécurité et de prévoir les mesures pour les réduire, sinon les éliminer. Certes, les risques varieront d’une PME à une grande organisation. Mais il est indéniable qu’une bonne gestion des risques permettra de limiter les menaces et ainsi, de prévenir les impacts, qu’ils soient d’ordre juridique ou économique.
Pour bien évaluer les risques d’un système, il convient non seulement d’en évaluer les vulnérabilités techniques, mais de faire un exercice préalable de classification et de quantification de l’information. Ceci a pour but d’identifier et de catégoriser tous les renseignements personnels et confidentiels qu’une organisation détient, pour ensuite déterminer les mesures de sécurité qu’il convient de mettre en place pour chaque type de renseignement. Bien que la loi ne prescrit pas la nature exacte des mesures de sécurité requises pour protéger l’information, elle prévoit que « toute personne qui exploite une entreprise doit prendre les mesures de sécurité propres à assurer la protection des renseignements personnels collectés, utilisés, communiqués, conservés ou détruits et qui sont raisonnables compte tenu, notamment, de leur sensibilité, de la finalité de leur utilisation, de leur quantité, de leur répartition et de leur support »[1].
Une bonne gestion des risques signifie également d’encadrer l’utilisation des postes de travail et des médias sociaux par les employés, de façon à protéger l’employeur et à limiter les dommages qui pourraient découler d’une divulgation non autorisée d’information. Par ailleurs, une politique devrait prévoir quelles sont les technologies à mettre en place pour garantir l’authenticité des documents émis, la manière dont les clés de chiffrement sont gérées, les droits d’accès à l’intérieur de l’entreprise et le processus de gestion des incidents de sécurité, notamment. Notons que la gestion des incidents peut faire l’objet d’une politique séparée ou être incorporée à une politique générale de sécurité de l’information.
2) Assurer la conformité dans le traitement de l’information
Rien ne précise dans la loi ce que doit contenir une politique de sécurité. Par contre, diverses règles relatives au traitement de l’information ont été prévues par le législateur, notamment en ce qui a trait à la confidentialité, à l’intégrité et à l’accessibilité des données. Par exemple, la Loi concernant le cadre juridique des technologies de l’information oblige les organisations à préserver l’intégrité des documents technologiques pour que ceux-ci puissent conserver leur valeur probante. Il faut également tenir compte des dispositions prévues à la Loi sur la protection des renseignements personnels dans le secteur privé concernant, par exemple, l’exigence de consentement à la collecte des renseignements personnels, les droits d’accès et de destruction de ceux-ci. D’autre part, des règles spécifiques de rétention ou de conservation des données peuvent être prévues par des lois particulières à certains domaines, tels que les lois fiscales, les droits de propriété intellectuelle, les lois régissant les données médicales et certains délais de prescription. Une politique de sécurité élabore ainsi les règles et procédures à mettre en oeuvre compte tenu de tous les risques identifiés et des obligations législatives générales et exclusives à certains types de renseignement.
Soulignons par ailleurs que, bien qu’il n’existe pas à l’heure actuelle d’obligation explicite de préservation des documents en prévision d’un litige au Québec, les principes de Sedona Canada disposent que dès qu’il est raisonnable d’anticiper une poursuite, une entreprise devrait « immédiatement prendre de bonne foi des mesures raisonnables afin de préserver les documents électroniques potentiellement pertinents »[1]. À cet égard, notons que l’article Art. 4.1 du Code de procédure civile du Québec prévoit que les parties à une instance doivent agir de bonne foi et ne pas nuire à autrui de manière excessive ou déraisonnable.
3) Optimiser la gestion des ressources informationnelles
Comme l’a si bien expliqué Jean-Marc Rietsch lors du séminaire de Demateus, la conservation et l’archivage des données sont des éléments essentiels de l’économie numérique. Effectivement, une bonne gestion des ressources permet d’organiser l’information de façon à optimiser les processus de traitement. Ainsi, une entreprise devrait veiller à ne pas conserver inutilement de l’information et, de ce fait, s’assurer que les données ne portent pas préjudice à l’entreprise dans la gestion du ediscovery, le cas échéant. Comme le soulignait l’avocate Isabelle Renard, plus l’information est difficile à gérer, et plus les litiges risquent de coûter cher. Une politique de sécurité permet ainsi de quantifier en quelque sorte le processus documentaire.
Qui plus est, il peut être très avantageux pour une entreprise d’appliquer une politique de gestion des incidents de sécurité. La documentation des incidents permet d’en faire une analyse post-mortem et de savoir si l’incident aurait pu être évité. Une évaluation des pertes financières et des impacts découlant de l’incident peut également permettre de faire des recommandations à la direction sur l’amélioration des activités préventives et servir de preuve dans un contexte litigieux, le cas échéant.
4) Favoriser la cohérence dans la gestion et la sécurité de l’information
Mettre en œuvre une politique de sécurité servira à uniformiser le traitement de l’information et à y prévoir des règles spécifiques. À une échelle plus globale toutefois, il est important de prévoir une politique-cadre sur la gouvernance et la gestion de l’information, laquelle a pour but de définir les orientations générales de l’entreprise dans le traitement et la sécurité de ses actifs informationnels. On y inscrit, par exemple, les différents rôles et responsabilités et certaines références en matière de normes techniques de gestion de l’information (par exemple, la norme ISO/IEC 27001). Tout employé, cadre ou mandataire de l’entreprise dispose ainsi d’une vue d’ensemble et d’un plan d’action qu’il doit connaître et mettre en œuvre. Une politique-cadre assure que les documents sont tous traités de façon cohérente par les différents départements conformément aux règles d’éthique et de gouvernance de l’entreprise. Soulignons que lorsque les politiques de sécurité sont appliquées à l’ensemble d’une organisation, elles doivent normalement être entérinées par le conseil d’administration de l’entreprise.
****
Idéalement, toute organisation devrait désigner un responsable de la sécurité de l’information ayant pour principale mission de s’assurer que les ressources informationnelles et les droits d’accès sont conformes aux politiques de sécurité mises en place par l’organisation. Qui plus est, mettre en oeuvre et planifier de façon stratégique la gestion de l’information peut s’avérer bénéfique sur le plan de l’économie numérique.
[2] Les principes de Sedona Canada sont disponibles à l’adresse suivante : <https://www.lexum.com>.