Catégorie : Risque

Publié le

Bonnes pratiques du Commissaire à la protection de la vie privée de l’Ontario – N’en jetez plus !

Le nouveau guide d’évaluation des risques pour la vie privée publié par l’autorité régulatrice repose sur deux erreurs conceptuelles majeures.

En octobre dernier, le Commissaire à l’information et à la protection de la vie privée de l’Ontario (« le Commissaire ») a diffusé un guide des bonnes pratiques sur l’anonymisation des renseignements personnels – dont j’ai écrit ICI tout le mal que j’en pense.

Or, le mois suivant, le même Commissaire a diffusé un autre guide de référence, cette fois sur l’évaluation des risques d’atteinte à la vie privée. Vous allez dire que je m’acharne. Mais force est de constater que le Commissaire s’est encore planté.

Le document, intitulé Planifier pour réussir : guide d’évaluation de l’impact sur la vie privée pour les institutions publiques de l’Ontario constitue en fait une mise à jour, rendue nécessaire par l’entrée en vigueur de la Loi de 2024 visant à renforcer la cybersécurité et la confiance dans le secteur public. En effet, l’article 4(2) de ce texte est venu modifier l’article 38 de la Loi sur l’accès à l’information et la protection de la vie privée (LAIPVP). Lequel article créait ainsi l’obligation pour tout organisme public de mener une évaluation de l’impact sur la vie privée (ÉIVP) préalablement à la création ou la modification substantielle d’un traitement de renseignements personnels.

Jusqu’ici, les ÉIVP étaient seulement recommandées par le Commissaire ontarien. La loi amendée les rend désormais obligatoires, et ce pour TOUS les nouveaux traitements de renseignements personnels.

Continuer la lecture de « Bonnes pratiques du Commissaire à la protection de la vie privée de l’Ontario – N’en jetez plus ! »
Publié le

Nouveau guide officiel ontarien sur l’anonymisation des renseignements personnels : un loupage épique

Le 30 octobre dernier, le Commissaire à l’information et à la protection de la vie privée de l’Ontario a publié un nouveau guide en matière d’anonymisation des renseignements personnels. Nous le trouvons globalement décevant.

En effet, à divers égards, ce document accumule approximations, faussetés voire égarements ; et ce, dans trois domaines fondamentaux :

  1. les définitions de concepts-clés,
  2. le processus d’anonymisation,
  3. le calcul du risque de réidentification.

Cela nous paraît d’autant plus inquiétant que le nouveau guide du Commissaire ontarien est d’ores et déjà présenté dans l’industrie comme une référence canadienne sur ces trois éléments. Aussi nous a-t-il semblé important de pointer du doigt ces problèmes conceptuels et méthodologiques.

Chargeur En cours de chargement…
Logo EAD Cela prend trop de temps ?

Recharger Recharger le document
| Ouvert Ouvrir dans un nouvel onglet
Publié le

Doit-on craindre des cyber-assassinats dans les hôpitaux ?

infosecÀ force de raisonner essentiellement en termes de vulnérabilités, on parasite la gestion des risques avec d’improbables conjectures – au détriment d’autres hypothèses. Le scénario-catastrophe du moment : le cyber-assassinat de personnes hospitalisées.

L’Internet des objets soulève de plus en plus de questions en matière de sécurité informatique. Ainsi, dans le secteur hospitalier, on redoute  que certains appareils (moniteurs de signes vitaux, perfusions, pompes à insuline, respirateurs homelandartificiels,…) soient utilisés, via les réseaux informatiques, par des personnes malintentionnées afin d’attenter à la santé voire à la vie des patients.

L’hypothèse évoquera à l’amateur de séries télévisées une fameuse séquence de Homeland (saison 2, épisode 10) au cours de laquelle un hacker travaillant pour une organisation terroriste parvient à  tuer le vice-président américain en prenant le contrôle à distance de son stimulateur cardiaque.

Continuer la lecture de « Doit-on craindre des cyber-assassinats dans les hôpitaux ? »

Publié le

Sureté d’aéroport pour parc d’attractions : le ratage de « La Ronde » à Montréal

TerrorismeLes nouvelles mesures de sureté à l’entrée du parc d’attractions La Ronde de Montréal sont une parfaite illustration du concept de poudre aux yeux sécuritaire. Totalement inefficiente, cette parodie de réponse antiterroriste conduit à se demander si l’on n’a pas rogné sur des budgets autrement plus importants pour la sécurité des clients (entretien des manèges, protection contre les incendies, formation au secourisme,…).

Cette fin de semaine, plein soleil et températures estivales obligent, c’est en famille que nous avons débarqué sur l’Ile-Ste-Hélène, pour profiter de l’ouverture de la saison 2016 à La Ronde, le grand parc d’attractions de Montréal.

LaRonde

Mais à notre arrivée, une file d’attente serpentine s’étendait sur environ 400 mètres. Pourquoi un achalandage aussi massif, tel que je n’en avais jamais constaté (en tant que père de famille, je suis un habitué des lieux) ? La réponse m’est rapidement apparue dans toute son évidence et son horreur : sous le grand porche d’accès au parc, j’ai repéré la silhouette bien connue des portiques détecteurs de métaux !

Continuer la lecture de « Sureté d’aéroport pour parc d’attractions : le ratage de « La Ronde » à Montréal »

Publié le

Konformität über alles

infosecLa conformité aux normes, plus sécuritaire que la sécurité elle-même… Simple lapsus ou regrettable inflexion des concepts en sécurité de l’information ?

Le site HealthCare IT Security a publié la semaine dernière un article consacré à la sécurité moderne des entrepôts de données dans le secteur de la santé. Son auteur, Bill Kleyman, spécialiste des datacenters, y évoque les trois niveaux de sécurité essentiels en la matière :

  1. la sécurité physique, c’est à dire la protection des locaux qui abritent les serveurs et autres supports physiques d’information contre des attaques matérielles ;
  2. la sécurité logique, autrement dit la protection des informations et des systèmes d’information contre des attaques immatérielles ;
    Et il ajoute :
  3. la conformité aux standards, qu’il justifie de la façon suivante (je souligne) :

guillemetHaving the most secure platform out there still may not make you compliant. This is why it’s critical to work with a data center partner that can offer the full trifecta of physical, logical, and compliance-drive security.

Et de citer divers standards internationaux en sécurité de l’information : PCI, HIPAA/HITECH, SOC 1, SOC 2, Safe Harbor.

Et là, je tique.

Continuer la lecture de « Konformität über alles »

Publié le

Une évaluation des risques… sans risque

TerrorismeLe risque est l’éventualité qu’un évènement nuisible se produise dans le futur. Une évaluation du risque terroriste qui s’ajuste principalement en fonction d’évènements passés ne présente aucune pertinence.

Vendredi dernier, le cabinet international Aon, spécialisé dans les assurances et la gestion de risque, a publié son rapport annuel Terrorism and Political Violence Risk Map 2016.

Comme le mentionne le quotidien Les Échos, on est confronté, selon Aon, à une augmentation du risque terroriste global – la première depuis 2013.

Ce constat ne surprendra personne. Mais le problème est ailleurs.

Continuer la lecture de « Une évaluation des risques… sans risque »