top of page

Identifier les réglementations applicables en matière de cybersécurité

En fonction de l'industrie et de l'emplacement

Module de 7 minutes

Cybersecurity Regulations page.png

Identification des Réglementations Applicables en Matière de Cybersécurité en Fonction du Secteur et de la Localisation

​

La cybersécurité est une préoccupation cruciale pour les entreprises de toutes tailles et de tous secteurs. Avec le nombre croissant de cybermenaces, il est essentiel de mettre en place un programme de cybersécurité robuste pour protéger votre organisation et les données de vos clients. L'une des premières étapes de l'élaboration d'un programme de cybersécurité consiste à identifier les réglementations applicables en matière de cybersécurité qui s'appliquent à votre entreprise. Ces réglementations varient en fonction du secteur, de la localisation et du type de données traitées.

​

Bien que la liste suivante ne soit pas exhaustive, elle vous donne un aperçu des réglementations en matière de cybersécurité ici au Canada ainsi qu'à l'échelle internationale.

​

Canada :

  • CAN/DGSI 104 : Cette norme canadienne de cybersécurité fournit un cadre permettant aux organisations d'évaluer, de gérer et d'améliorer leur posture de cybersécurité, en se concentrant sur des domaines clés tels que la gestion des risques, la réponse aux incidents et la gouvernance.

  • LPRPDE (Loi sur la protection des renseignements personnels et les documents électroniques) : Cette loi fédérale canadienne régit la collecte, l'utilisation et la divulgation des renseignements personnels par les organisations du secteur privé, 1 les obligeant à mettre en œuvre des mesures de sécurité appropriées.  

  • LCSPC (Loi sur la cybersécurité des systèmes de cybernétiques critiques) : Cette loi fédérale canadienne vise à améliorer la cybersécurité des secteurs d'infrastructures critiques en établissant des normes minimales de cybersécurité, en exigeant des opérateurs qu'ils mettent en œuvre des programmes de cybersécurité et en rendant obligatoire la déclaration des incidents cybernétiques importants.
     

États-Unis :

  • HIPAA (Health Insurance Portability and Accountability Act) : Régit la confidentialité et la sécurité des informations de santé protégées (PHI).

  • GLBA (Gramm-Leach-Bliley Act) : Exige des institutions financières qu'elles protègent les informations sensibles des clients.

  • FERPA (Family Educational Rights and Privacy Act) : Protège la confidentialité des dossiers scolaires des étudiants.

  • FISMA (Federal Information Security Management Act) : S'applique aux agences fédérales et les oblige à mettre en œuvre et à maintenir un programme de sécurité de l'information.

  • CISA (Cybersecurity Information Sharing Act) : Encourage le partage d'informations entre le gouvernement et le secteur privé concernant les cybermenaces.
     

Union européenne :

  • RGPD (Règlement général sur la protection des données) : Un ensemble complet de lois sur la protection des données qui s'appliquent aux organisations qui traitent les données personnelles des résidents de l'UE.

  • Directive NIS2 (Directive sur la sécurité des réseaux et des systèmes d'information 2) : Une version mise à jour de la directive NIS avec une portée élargie et des exigences plus strictes.
     

International :

  • ISO 27001 : Une norme internationalement reconnue pour les systèmes de gestion de la sécurité de l'information.

  • Cadre de cybersécurité du NIST : Un ensemble volontaire de normes, de lignes directrices et de meilleures pratiques en matière de cybersécurité élaboré par le National Institute of Standards and Technology (NIST) aux États-Unis.

  • COBIT 2019 : Un cadre pour la gouvernance et la gestion des TI d'entreprise.

  • PCI DSS (Payment Card Industry Data Security Standard) : Un ensemble de normes de sécurité conçues pour protéger les données des titulaires de cartes.
     

Réglementations courantes en matière de cybersécurité :

Bien que certaines des réglementations les plus courantes en matière de cybersécurité ne soient pas spécifiques aux entreprises canadiennes, si une entreprise canadienne fait des affaires aux États-Unis et traite les informations personnelles/financières des consommateurs américains, elle devra peut-être tenir compte d'exigences réglementaires supplémentaires dans la mesure où ses activités entrent dans le champ d'application de la loi américaine. Il en va de même pour les activités commerciales à l'échelle internationale.

​

L'identification des réglementations applicables en matière de cybersécurité est une première étape essentielle dans l'élaboration d'un programme de cybersécurité robuste. En comprenant les réglementations qui s'appliquent à votre entreprise, vous pouvez prendre les mesures nécessaires pour protéger votre organisation et les données de vos clients.

​

Ressources supplémentaires :

  • Cadre de cybersécurité du NIST

  • Contrôles CIS

  • ISO 27001
     

Ressources du gouvernement du Canada :

  • Centre canadien pour la cybersécurité : Ce site Web officiel du gouvernement fournit des informations précieuses sur les cybermenaces, les meilleures pratiques et les ressources pour les entreprises. Vous pouvez trouver des informations sur les lois pertinentes et des conseils sur leur site Web.

  • Commissariat à la protection de la vie privée du Canada : Ce bureau fournit des conseils sur la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), une loi clé régissant la collecte, l'utilisation et la divulgation des renseignements personnels au Canada.
     

Ressources spécifiques à l'industrie :

  • Association canadienne de normalisation (CSA) : La CSA élabore et publie diverses normes relatives à la cybersécurité, y compris la CSA ISO/IEC 29128-1:24, qui fournit des conseils sur les systèmes de gestion de la cybersécurité.

  • Institutions financières : Les organisations du secteur financier doivent se familiariser avec les lignes directrices et les attentes du Bureau du surintendant des institutions financières (BSIF).
     

Principales réglementations canadiennes en matière de cybersécurité :

  • Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) : Cette loi fédérale régit la collecte, l'utilisation et la divulgation des renseignements personnels dans le secteur privé.

  • Loi sur la cybersécurité des systèmes cybernétiques critiques (LCSPC) : Cette loi vise à améliorer la cybersécurité des infrastructures critiques au Canada.

  • Législation provinciale : Certaines provinces ont leur propre législation sur la protection de la vie privée, comme la Personal Information Protection Act (PIPA) en Alberta

 

---

​

Veuillez noter : Ce module d'apprentissage est fourni à titre informatif uniquement et ne doit pas être interprété comme un avis juridique. Veuillez consulter 123 Cyber pour obtenir des conseils sur les réglementations spécifiques en matière de cybersécurité.

​

Cette série de formations est basée sur la NORME NATIONALE DU CANADA CAN/DGSI 104, Contrôles de cybersécurité de base pour les petites et moyennes organisations (généralement moins de 500 employés), les contrôles du Centre canadien pour la cybersécurité et le National Institute of Standards and Technology (NIST).

​

Ce tutoriel est un guide des meilleures pratiques, mais nous vous encourageons à consulter les politiques de votre entreprise pour vous assurer que vous suivez les procédures de votre organisation.

​

---

​

Si vous souhaitez devenir conforme à la norme CAN/DGSI 104 ou si vous souhaitez rejoindre notre programme d'affiliation :

bottom of page