Ogletree Deakins Ogletree Deakins
Ogletree Deakins > Publications > Cybersécurité et protection de la vie privée : quel rôle pour les Ressources humaines? | Partie I – notions de base

Cybersécurité et protection de la vie privée : quel rôle pour les Ressources humaines? | Partie I – notions de base

Par Erin Schachter
Download PDFPrintShare

Bienvenue dans cette série de cinq articles sur le rôle des Ressources humaines comme gestionnaires responsables, agiles et experts de la confidentialité des données des employés. Un à la suite de l’autre, les articles donneront aux professionnels des RH des outils pour les aider à aborder les enjeux de vie privée avec confiance. Le premier jette les bases en présentant les définitions et concepts clés.

Important à savoir

• L’apport des RH est primordial pour savoir qui est concerné par une fuite (qui est l’employé en cause, qui avait un accès et qui aura besoin d’aide pour maintenir les pare-feu).

  • Le personnel des RH doit connaître la terminologie de base pour que le message passe bien entre les équipes et soit efficacement transmis au reste de l’entreprise.
  • Une formation doit être régulièrement donnée à tous les employés, car les méthodes de piratage se multiplient et elles sont de plus en plus difficiles à détecter.

Pourquoi les RH devraient-elles se préoccuper de la protection de la vie privée et de la cybersécurité?

Les spécialistes des ressources humaines ont beaucoup de responsabilités, mais on ne pense pas toujours à eux lorsqu’il est question de fuite de données. Pourtant, la plupart du temps, les fuites de données sont le résultat d’erreurs humaines, comme quand un employé mord à une tentative d’hameçonnage ou note tous ses mots de passe sur une même feuille. Les RH peuvent intervenir pour protéger les données des employés et pour gérer un incident.

Voici quelques rôles essentiels que le service des RH joue pour protéger les données des employés :

  • Le gardien des clés : Même si le service des technologies de l’information (TI) est celui qui nous vient en tête quand on pense au contrôle des accès, les RH sont la première ligne de défense, car elles déterminent qui voit quoi et quand, et s’assurent que chaque personne ne voit que l’information dont elle a besoin pour faire son travail.
  • Celui qui pave la voie : Le service des RH ne fait pas qu’appliquer des politiques : il travaille à leur élaboration avec ceux de la conformité et des affaires juridiques, en formulant des commentaires et en donnant de l’information pratique.
  • Le gardien de la paix : En cas d’attaque, il faut sans tarder trouver les personnes qui connaissent les issues, le plan de bataille et le château comme le fond de leur poche. Il en va de même pour une fuite de données. Le service des RH sait qui a accès à quoi, quelle est la meilleure façon d’aviser le personnel et qui connaît l’information que lui-même ignore.

Les fuites de données se passent souvent à l’échelle humaine : un membre des RH paré aux éventualités est un atout certain pour contenir le risque.

Cela dit, pour bien se comprendre, il faut utiliser le même langage. Voici donc des termes couramment utilisés par les spécialistes de la protection de la vie privée et de la cybersécurité. Les connaître permet de passer plus vite de l’alerte à l’action.

Termes clés

Les termes ci-dessous sont définis dans le glossaire des termes et expressions en cybersécurité (en anglais) de la National Initiative for Cybersecurity Careers and Studies (NICCS).

AccèsCapacité et moyens de communiquer ou d’interagir avec un système, d’utiliser ses ressources pour obtenir les renseignements qu’il contient ou les traiter, ou de contrôler ses modules et ses fonctions. (Dans le glossaire de la NICCS : Access)
AnonymiseurOutil qui tente de rendre une activité sur Internet impossible à retracer (par l’anonymisation des données, généralement en les brouillant). (Anonymizers)
AutorisationProcessus visant à déterminer, à la lumière de l’information sur le contrôle d’accès applicable, si un sujet est autorisé à avoir un type d’accès donné à une ressource en particulier. (Authorization)
BogueDéfaillance inattendue et relativement mineure dans un système d’information ou un appareil. (Bug)
ChiffrerTerme générique englobant les termes « crypter » et « coder » (qui désignent la conversion de texte en clair en texte chiffré à l’aide d’un système ou d’un code cryptographique). Synonymes : crypter, coder (Encrypt)
Côté clientL’ensemble des éléments d’une application Web qui sont affichés ou exécutés sur le client (l’appareil de l’utilisateur final). (Clientside)
EnquêteEnquête systématique et formelle sur une menace ou un incident reconnu réalisée à l’aide de techniques de criminalistique numérique, et parfois d’autres techniques plus traditionnelles d’enquête criminelle, pour élucider les circonstances et recueillir des preuves. Définition élargie : Selon le cadre de la NICE, travail d’une personne qui applique diverses tactiques, techniques et procédures d’enquête comme des interrogatoires, de la surveillance, de la contre-surveillance et la détection de la surveillance, et trouve le juste équilibre entre les avantages d’une poursuite et la collecte de renseignements. (Investigation)
Fuite de donnéesCommunication ou transfert non autorisé de renseignements sensibles à une partie, généralement externe, qui n’est pas autorisée à les détenir ou à les voir. Termes connexes : perte de données, vol de données, violation de données, exfiltration (Data breach)
Gestion des incidentsGestion et coordination des activités liées aux situations avérées ou potentielles susceptibles d’avoir des conséquences négatives sur un système d’information ou sur des renseignements. (Incident Management)
IncidentSituation qui entraîne ou pourrait entraîner des conséquences négatives sur un système d’information ou sur les renseignements qu’il traite, stocke ou transmet, et qui pourrait nécessiter des mesures d’atténuation. Définition élargie : Manquement réel ou imminent aux politiques et procédures de sécurité ou aux politiques sur l’utilisation acceptable. Terme connexe : événement de sécurité (Incident)
IntégritéCaractéristique d’un renseignement, d’un système d’information ou d’un module qui n’a pas été modifié ou détruit d’une manière non autorisée. Définition élargie : État d’un renseignement qui demeure inchangé depuis sa production jusqu’à sa réception (y compris lors de la transmission et du stockage). Termes connexes : disponibilité, confidentialité, intégrité des données, intégrité du système (Integrity)
Intervention en cas d’incidentActivités réalisées pour atténuer des effets directs à court terme d’un incident et pour favoriser la reprise à court terme. Définition élargie : Selon le cadre pour la cybersécurité en milieu de travail de la National Initiative for Cybersecurity Education (NICE), travail d’une personne qui intervient en cas de crise ou d’urgence dans le domaine pertinent pour atténuer les menaces immédiates et éventuelles, qui utilise des techniques d’atténuation, de préparation, d’intervention et de reprise, selon les besoins, pour maximiser les chances de préservation de la vie, des biens et de la sécurité de l’information, et qui étudie toutes les interventions pertinentes. Terme connexe : reprise. Synonyme : intervention (Incident Response)
IsolerFait de séparer physiquement un système des autres systèmes ou réseaux. (Air gap)
Logiciel malveillantLogiciel qui compromet le fonctionnement d’un système en exécutant une fonction ou un processus non autorisé. Synonymes : maliciel, logiciel pernicieux, applet hostile (Malware)
MenaceSituation ou événement qui a exploité ou qui pourrait exploiter des vulnérabilités de façon à entraîner des conséquences négatives sur les activités, les actifs (y compris les renseignements et systèmes d’information) ou les membres d’une organisation, sur d’autres organisations ou sur la société. Définition élargie : Peut désigner une personne ou un groupe de personnes, une entité (comme une organisation ou une nation), un acte ou une situation. (Threat)
MystificationFalsification de l’adresse d’expédition lors d’une transmission dans le but d’accéder de manière illicite (non autorisée) à un système protégé. Définition élargie : Fait d’inciter délibérément un utilisateur ou une ressource à se livrer à une action incorrecte. Remarque : L’usurpation, le déguisement et l’accès à califourchon sont des formes de mystification. (Spoofing)
Non-répudiationPropriété découlant de méthodes cryptographiques servant à se prémunir contre une personne ou une entité qui nie faussement avoir réalisé une action quelconque en lien avec des données. Définition élargie : Permet de déterminer si une personne donnée a fait une action donnée (ex. : créer un renseignement, envoyer un message, approuver un renseignement, recevoir un message). Termes connexes : intégrité, authenticité (Non-repudiation)
ObjetÉlément passif lié au système qui contient ou reçoit de l’information. Termes connexes : sujet, accès, contrôle d’accès (Object)
Plan de continuité des activitésDocument qui décrit les procédures visant à assurer le maintien des fonctionnalités principales et des activités essentielles en cas de perturbation (en cours ou anticipée). Termes connexes : plan de continuité des affaires, plan de reprise après sinistre, plan de secours (Continuity of operations plan)
Pot de mielMécanisme de sécurité informatique conçu pour détecter, déjouer ou, d’une certaine façon, contrer les tentatives d’utilisation non autorisée de renseignements. Terme connexe : piège à pirate (Honeypot)
RançongicielLogiciel malveillant conçu pour empêcher un utilisateur ou une organisation d’accéder aux fichiers de son ordinateur. (Ransomware)
Renseignement personnelRenseignement qui permet d’identifier une personne, que ce soit directement ou indirectement. (Personal Identifying Information/Personally Identifiable Information [PII])
RepriseActivités réalisées après un incident pour rétablir les activités et les services essentiels à court et à moyen terme et en arriver à un rétablissement complet à long terme. (Recovery)
Résilience du réseauCapacité d’un réseau : (1) de fonctionner sans interruption (grande résistance aux perturbations et capacité à fonctionner en mode dégradé en cas d’endommagement); (2) de se rétablir rapidement en cas de défaillance; (3) de s’ajuster pour répondre aux pointes et aux demandes imprévisibles. (Network Resilience)
RisquePossibilité qu’un résultat non désiré ou néfaste puisse résulter d’un incident ou d’une situation, selon la probabilité qu’une menace donnée exploite une vulnérabilité quelconque. (Risk)
SujetPersonne, processus ou dispositif qui cause la circulation de l’information d’un objet à un autre ou un changement dans l’état du système. (Subject)
VulnérabilitéCaractéristique ou faiblesse qui expose une organisation ou un actif (comme des renseignements ou un système d’information) à une menace ou à un risque d’exploitation. Définition élargie : Caractéristiques d’un lieu ou de la posture de sécurité, des procédures de sécurité, des contrôles internes ou de leur mise en œuvre qui permettent à une menace ou à un danger d’exister. La vulnérabilité peut s’exprimer en termes qualitatifs ou quantitatifs désignant le degré de fragilité face à une menace ou à un danger. (Vulnerability)

Le groupe de pratique en cybersécurité et protection de la vie privée d’Ogletree Deakins publiera d’autres articles sur la cybersécurité et la protection de la vie privée dans le cadre de cette série. Le prochain article porte sur la gestion des données des employés et sur les principaux facteurs de risque à évaluer.

Pour nous suivre

LinkedIn | Instagram | Webinaires | Balados

Auteur

Erin Schachter
Associate, Montréal

Pour aller plus loin

Podcasts Seminars Webinars

Sign up to receive emails about new developments and upcoming programs.

Sign Up Now