Cinq conseils pour protéger les données de vos clients contre les pirates informatiques
Publié le juin 29, 2021 • 8 min de lecture
Quelle que soit la taille de votre entreprise, si vous conservez les données de vos clients sur vos serveurs, dans le nuage ou même dans une feuille de calcul, il est essentiel que cette information soit bien protégée. Les mesures que vous mettez en place à cette fin rejaillissent sur votre entreprise et sur votre réputation.
Voici cinq conseils qui vous aideront à protéger les renseignements de vos clients.
1. Réévaluez vos pratiques en matière de collecte de données
Bien connaître votre clientèle vous aide à communiquer plus facilement et à mieux planifier vos activités. Mais vous recueillez et stockez peut-être plus de données que nécessaire.
Par exemple, avez-vous vraiment besoin de conserver les renseignements relatifs aux paiements ? Ne vaudrait-il pas mieux confier cette tâche à un fournisseur de services de paiement, comme Moneris ?
Il est bon d’examiner vos pratiques chaque année, pour vous assurer de recueillir les données qui sont pertinentes, de les utiliser adéquatement et de les conserver en toute sécurité. La portée de cet examen devrait aussi être réévaluée tous les ans. Voici la marche à suivre :
-
Déterminez quelles sont les données nécessaires à votre entreprise.
-
Faites l’inventaire des données en votre possession.
-
Prenez connaissance des exigences légales ou réglementaires à respecter pour le classement et la protection des données.
-
Classez les données en fonction de leur importance et du risque qui leur est associé. Par exemple, le risque associé à la liste des produits que vous vendez n’est pas du même ordre que celui associé au stockage des renseignements personnels et des données de cartes de crédit.
-
Élaborez des mesures de sécurité pour protéger les données selon la catégorie à laquelle elles appartiennent.
-
Mettez en place ces mesures.
-
Vérifiez leur efficacité.
-
Répétez périodiquement ces étapes. Vous devriez faire cet exercice au moins une fois par an. Si la nature de vos activités ou des données change (ou si les exigences légales ou réglementaires se resserrent), faites-le plus souvent.
Si vous conservez des données confidentielles ou essentielles au fonctionnement de votre entreprise, vous pourriez même envisager de souscrire une assurance cyberresponsabilité afin de protéger votre entreprise contre les pertes ou réclamations pouvant découler d’une atteinte à la sécurité des données.
2. Informez vos employés afin de protéger votre entreprise
Si vous n’avez pas formé vos employés sur des stratagèmes comme l’hameçonnage, par exemple, votre stratégie de sécurité, même bien conçue, pourrait être neutralisée en un seul clic. Informez régulièrement vos employés des attentes de l’entreprise, des menaces potentielles et des protocoles à respecter pour utiliser les données. Afin de renforcer la sécurité, on peut aussi limiter le nombre de personnes ayant accès à certaines données.
3. Faites des copies de sécurité de vos données
Comme le fonctionnement de la plupart des entreprises s’appuie sur des données, il est important d’avoir un système de sauvegarde de l’information et de vérifier régulièrement qu’il répond toujours aux besoins de votre entreprise. Voici quelques questions pour évaluer vos systèmes et vos procédures de sauvegarde :
-
À quelle fréquence les données sont-elles sauvegardées ? Selon la nature de votre entreprise, vous pourriez opter pour une sauvegarde horaire ou quotidienne. Par ailleurs, vous devriez vérifier régulièrement le fonctionnement des copies de sécurité et vous assurer qu’elles contiennent toutes les données dont vous pourriez avoir besoin. Enfin, assurez-vous de savoir comment récupérer ces données en cas d’urgence.
-
Où vos données sont-elles conservées ? Au Canada ou ailleurs ? Si vos données sont conservées à l’extérieur du Canada et que vous craignez que cela pose un risque pour les renseignements personnels de vos clients, élaborez un plan visant à les rapatrier (du moins celles dont le stockage vous préoccupe). Vous pourriez aussi communiquer avec votre fournisseur actuel de services de données afin de vous renseigner sur ses dispositifs de sécurité.
-
A-t-il des serveurs à l’étranger ? Même si l’entreprise qui héberge vos données est canadienne, elle a peut-être des serveurs dans d’autres pays. Posez la question afin de veiller à ce que vos données soient entreposées de façon appropriée.
-
Avez-vous prévu une copie de sécurité hors ligne en cas d’atteinte à la sécurité des données ou d’attaque par rançongiciel ? Créer une copie de sauvegarde hors ligne est plus simple que vous ne le pensez : vous pouvez le faire vous-même sur votre serveur ou recourir à un fournisseur de services de sauvegarde afin qu’il enregistre périodiquement vos données hors ligne.
-
Si toutes vos copies de sécurité se trouvent au même endroit ou dans la même région, quel est votre plan en cas d’incendie ou de catastrophe naturelle ? Répartissez les services de sauvegarde dont vous bénéficiez dans divers endroits et misez sur la redondance afin de vous protéger contre les imprévus.
Vos données doivent être sauvegardées assez souvent. Vous devez également disposer de copies de sauvegarde hors ligne pour restaurer vos systèmes au cas où vos données seraient compromises ou verrouillées par des demandeurs de rançon. Si ce n’est pas le cas, adoptez une stratégie en vue de parer à toutes les éventualités. Par ailleurs, vous devriez élaborer un plan de reprise des opérations après sinistre. Un tel plan permet de rediriger rapidement les ressources de l’entreprise afin de récupérer les données à la suite d’une catastrophe ou d’une cyberattaque. Un plan de maintien des opérations est tout aussi important, puisqu’il aide l’entreprise à poursuivre ses activités en dépit de perturbations semblables à celles de la pandémie de COVID-19.
4. Élaborez une stratégie de sécurité (ou passez en vue celle qui existe déjà)
Si vous n’avez pas de stratégie de sécurité, vous pouvez faire équipe avec une entreprise spécialisée en sécurité de l’information afin d’élaborer un plan qui vous aidera à protéger vos clients. Si vous avez déjà une telle stratégie, passez-la régulièrement en revue, afin qu’elle tienne compte des nouvelles cybermenaces, de l’évolution des technologies de chiffrement ainsi que des protocoles logiciels et de sécurité.
Selon votre secteur d’activité, les données de vos clients pourraient être assujetties à des lois ou à des réglementations sectorielles sur la protection des renseignements personnels et nécessiter une protection accrue. De plus, en cas d’atteinte à leur sécurité, vous pourriez être tenu de produire des déclarations additionnelles ou de vous acquitter d’autres obligations. À titre d’exemple, si votre entreprise utilise des données relatives à la santé, elle est assujettie à la Loi sur la protection des renseignements personnels et les documents électroniques, la loi canadienne régissant la protection des renseignements des patients. Certaines provinces ont aussi adopté des dispositions à ce chapitre, comme la Colombie-Britannique et la Nouvelle-Écosse où toutes les données sur la santé doivent être conservées exclusivement dans des serveurs situés au Canada.
Une entreprise de cybersécurité peut vous aider à déterminer les règles et les normes qui s’appliquent à votre secteur d’activité. Elle vous aidera aussi à créer un plan pour sauvegarder, chiffrer, stocker, protéger et gérer les données de façon efficiente, et ainsi protéger comme il se doit les renseignements de votre entreprise et de vos clients.
5. Passez votre plan en revue
Les plans de sécurité ne doivent jamais être considérés comme « définitifs ». Une fois votre plan de cybersécurité élaboré, faites équipe avec des professionnels afin de le passer en revue à une fréquence annuelle ou trimestrielle, selon la nature de vos données et le risque qui leur est associé. Vous assurerez ainsi d’avoir en place des mesures de sécurité à jour pour contrer les menaces potentielles. Vous voulez éviter d’avoir à informer vos clients que leurs données ont été compromises. L’examen de votre plan de sécurité – et sa mise à jour lorsque nécessaire – vous permettra d’avoir l’esprit tranquille, car vous saurez que les renseignements de vos clients sont en sécurité.
Le présent article vise à offrir des renseignements généraux seulement et n’a pas pour objet de fournir des conseils juridiques ou financiers, ni d’autres conseils professionnels. Veuillez consulter un conseiller professionnel en ce qui concerne votre situation particulière. Les renseignements présentés sont réputés être factuels et à jour, mais nous ne garantissons pas leur exactitude et ils ne doivent pas être considérés comme une analyse exhaustive des sujets abordés. Les opinions exprimées reflètent le jugement des auteurs à la date de publication et peuvent changer. La Banque Royale du Canada et ses entités ne font pas la promotion, ni explicitement ni implicitement, des conseils, des avis, des renseignements, des produits ou des services de tiers.
Partager cet article