top of page

Naviguer dans le paysage réglementaire

Aperçu des principales réglementations en matière de cybersécurité

Module de 7 minutes

Regulatory Landscape - Page.png

Naviguer dans le paysage réglementaire : un aperçu des principales réglementations en matière de cybersécurité

​

Les violations de données et les cyberattaques ne sont plus une question de « si » mais de « quand ». Pour les organisations de toutes tailles, naviguer dans le réseau complexe des réglementations en matière de cybersécurité est crucial pour protéger les données sensibles, atténuer les risques et maintenir la confiance des clients. Cet aperçu présente certaines des principales réglementations en matière de cybersécurité que les petites et moyennes entreprises (PME) doivent prendre en compte :

​

1. CAN/DGSI 104:2021 Rev 1 2024 (Canada) [anciennement CAN/CIOSC 104]

Objectif : Cette norme fournit des lignes directrices pour la protection des infrastructures critiques au Canada. Elle souligne l'importance de la gestion des risques, de la réponse aux incidents et de la planification de la continuité des activités.

​

Exigences clés :

  • Évaluation des risques : Effectuer des évaluations des risques régulières pour identifier et hiérarchiser les menaces.

  • Planification de la réponse aux incidents : Élaborer et tester des plans de réponse aux incidents pour minimiser l'impact des cyberattaques.

  • Planification de la continuité des activités : S'assurer que les opérations commerciales peuvent se poursuivre en cas de perturbation.

  • Système de gestion de la sécurité de l'information (SMSI) : Mettre en œuvre et maintenir un SMSI pour gérer et protéger les actifs informationnels.
     

2. RGPD (Règlement général sur la protection des données - Europe)

Objectif : Le RGPD est une loi complète sur la protection des données qui s'applique à toute organisation traitant les données personnelles de personnes résidant dans l'Union européenne (UE), quel que soit l'emplacement de l'organisation.
 

Exigences clés :

  • Droits des personnes concernées : Accorder aux individus des droits tels que l'accès, la rectification, l'effacement et la portabilité des données.

  • Protection des données dès la conception et par défaut : Intégrer les principes de protection des données à toutes les étapes du traitement des données.

  • Responsabilité : Démontrer la conformité au RGPD par une documentation appropriée et des politiques internes.

  • Notification des violations de données : Signaler les violations de données aux autorités compétentes dans un délai de 72 heures.


3. CCPA (California Consumer Privacy Act - États-Unis)

Objectif : Le CCPA accorde aux résidents de la Californie des droits spécifiques concernant leurs informations personnelles, y compris le droit de connaître, d'accéder, de supprimer et de refuser la vente de leurs données.
 

Exigences clés :

  • Transparence : Fournir des avis de confidentialité clairs et visibles aux consommateurs.

  • Accès aux données et suppression : Permettre aux consommateurs d'accéder et de supprimer leurs informations personnelles.

  • Ne pas vendre : Fournir aux consommateurs le droit de refuser la vente de leurs informations personnelles.

  • Notification des violations de données : Notifier aux consommateurs toute violation de données susceptible d'avoir exposé leurs informations personnelles.

 

4. HIPAA (Health Insurance Portability and Accountability Act - États-Unis)

Objectif : HIPAA protège la confidentialité et la sécurité des informations de santé protégées (PHI) détenues par les entités couvertes, telles que les fournisseurs de soins de santé, les régimes de santé et les chambres de compensation de soins de santé.

​

Exigences clés :

  • Règle de sécurité des données : Mettre en œuvre des mesures de protection pour protéger la confidentialité, l'intégrité et la disponibilité des PHI.

  • Règle de confidentialité : Établir des procédures pour l'utilisation et la divulgation des PHI.

  • Règle de notification des violations : Signaler les violations de PHI non sécurisées au Département de la santé et des services sociaux (HHS).

 

5. PCI DSS (Norme de sécurité des données de l'industrie des cartes de paiement)

Objectif : La norme PCI DSS est un ensemble de normes de sécurité conçues pour protéger les données des titulaires de carte. Elle s'applique à toute entité qui stocke, traite ou transmet des données de titulaires de carte.

​

Exigences clés :

  • Construire et maintenir un réseau sécurisé : Protéger les données des titulaires de carte en mettant en œuvre des pare-feu, des systèmes de détection d'intrusion et d'autres mesures de sécurité.

  • Protéger les données des titulaires de carte : Chiffrer les données des titulaires de carte en transit et au repos.

  • Maintenir une politique de sécurité de l'information : Élaborer et appliquer une politique de sécurité de l'information écrite.

  • Surveiller et tester régulièrement les réseaux : Effectuer des analyses de vulnérabilité et des tests de pénétration réguliers pour identifier et traiter les faiblesses de sécurité.

 

6. NIST CSF (Cadre de cybersécurité de l'Institut national des normes et de la technologie - États-Unis)

Objectif : Le NIST CSF fournit un cadre volontaire pour la gestion des risques de cybersécurité. C'est un cadre flexible et adaptable qui peut être adapté pour répondre aux besoins spécifiques de toute organisation.

​

Fonctions clés :

  • Identifier : Développer une compréhension organisationnelle pour gérer les risques de cybersécurité pour les systèmes, les actifs, les données et les capacités.  

  • Protéger : Développer et mettre en œuvre des mesures de protection appropriées pour assurer la prestation de services d'infrastructure critiques.

  • Détecter : Développer et mettre en œuvre les activités appropriées pour identifier la survenue d'un événement de cybersécurité.

  • Répondre : Prendre des mesures concernant un événement de cybersécurité détecté.

  • Récupérer : Prendre des mesures pour maintenir des plans de résilience et pour restaurer toutes les capacités ou services qui ont été altérés en raison d'un événement de cybersécurité.

 

7. ISO 27001 : Une norme internationale pour la sécurité de l'information

Objectif : ISO 27001 est une norme reconnue internationalement qui fournit un cadre pour établir, mettre en œuvre, maintenir et améliorer continuellement un système de gestion de la sécurité de l'information (SMSI). Elle aide les organisations de toutes tailles et de tous secteurs à gérer et à protéger leurs informations sensibles.  

​

Exigences clés :

  • Établir le contexte de l'organisation : Comprendre les problèmes internes et externes qui peuvent affecter la sécurité de l'information de l'organisation.

  • Identifier les parties intéressées : Déterminer les besoins et les attentes des parties prenantes, telles que les clients, les employés et les organismes de réglementation.

  • Planifier :

    • Définir le champ d'application du SMSI.

    • Effectuer des évaluations des risques pour identifier et hiérarchiser les risques de sécurité de l'information.

    • Déterminer les contrôles nécessaires pour traiter les risques identifiés.

  • Soutenir :

    • Fournir les ressources nécessaires, y compris le personnel, la technologie et l'infrastructure.

    • Promouvoir la sensibilisation et la formation à la sécurité de l'information au sein de l'organisation.

  • Opérer :

    • Mettre en œuvre et exploiter les contrôles définis dans l'évaluation des risques.

    • Surveiller et examiner l'efficacité des contrôles.

  • Amélioration continue :

    • Examiner et améliorer régulièrement le SMSI sur la base d'audits internes et externes, d'examens d'incidents et d'examens de gestion.

 

Considérations clés pour la conformité :

  • Évaluation des risques : Effectuer des évaluations des risques approfondies pour identifier et hiérarchiser les risques de cybersécurité les plus importants.

  • Élaboration de politiques : Élaborer et mettre en œuvre des politiques et des procédures de cybersécurité complètes.

  • Formation des employés : Former les employés aux meilleures pratiques en matière de cybersécurité, y compris la sensibilisation au phishing, l'ingénierie sociale et la gestion des données.

  • Mise en œuvre de technologies : Investir dans des technologies de cybersécurité telles que les pare-feu, les systèmes de détection d'intrusion et les logiciels antivirus.

  • Surveillance et tests réguliers : Surveiller et tester régulièrement vos contrôles de cybersécurité pour vous assurer de leur efficacité.

  • Planification de la réponse aux incidents : Élaborer et tester des plans de réponse aux incidents pour minimiser l'impact des cyberattaques.

  • Gestion des risques des tiers : Gérer les risques de cybersécurité associés aux fournisseurs et aux prestataires tiers.

 

Naviguer dans le paysage complexe des réglementations en matière de cybersécurité peut être difficile. Cependant, le service de préparation à l'audit de 123 Cyber garantit que les clients sont cybersécurisés et répondent aux exigences de la norme CAN/DGSI 104:2021 Rev 1 2024.

​

---

​

Avertissement : Ce module d'apprentissage est fourni à titre informatif uniquement et ne constitue pas un avis juridique ou professionnel.​

​

Cette série de formations est basée sur la NORME NATIONALE DU CANADA CAN/DGSI 104, les contrôles de cybersécurité de base pour les petites et moyennes organisations (généralement moins de 500 employés), les contrôles du Centre canadien pour la cybersécurité et le National Institute of Standards and Technology (NIST).

​

Ce tutoriel est un guide des meilleures pratiques, mais nous vous encourageons à consulter les politiques de votre entreprise pour vous assurer que vous suivez les procédures de votre organisation.​

​

---

​

Si vous souhaitez vous conformer à la norme CAN/DGSI 104 ou si vous souhaitez rejoindre notre programme d'affiliation :​​

bottom of page