Contrôle 3 — Protection des données
Les données sensibles — renseignements personnels, financiers, propriété intellectuelle — doivent être identifiées, classifiées et protégées tout au long de leur cycle de vie. 14 Safeguards couvrent classification, chiffrement, rétention et élimination sécurisée.
Pourquoi ce contrôle est critique ?
La protection des données est à l'intersection de la cybersécurité et de la conformité. La Loi 25 impose des obligations précises sur les renseignements personnels. Un ordinateur portable perdu non chiffré peut déclencher une obligation de notification à la CAI.
Procédures & outils recommandés
Démarrer par un inventaire des données (3.2) : quels types possédez-vous, où sont-ils stockés, qui y accède ? Puis définir un schéma de classification simple. Chiffrer d'abord les portables (BitLocker/FileVault) — action la plus rapide et la plus impactante.
- BitLocker (Windows) / FileVault (macOS) — chiffrement disque intégré et gratuit
- VeraCrypt (open source) — volumes portables chiffrés
- Microsoft Purview — classification automatique dans Microsoft 365
- Eraser / DBAN — effacement sécurisé avant recyclage
- Tresorit — partage de fichiers chiffrés de bout en bout
Tableau des Safeguards
| # | Action (Safeguard) | IG | Classe |
|---|---|---|---|
| 3.1 | Établir et tenir à jour un processus de gestion des données : classification, rétention et élimination sécurisée. | IG1 | Données |
| 3.2 | Établir et tenir à jour un inventaire des données sensibles, incluant leur localisation et le responsable désigné. | IG1 | Données |
| 3.3 | Configurer les listes de contrôle d'accès (ACL) selon le principe du besoin d'en connaître. | IG1 | Données |
| 3.4 | Appliquer les règles de rétention des données : supprimer les données dont la durée de conservation est expirée. | IG1 | Données |
| 3.5 | Éliminer les données de façon sécurisée (effacement cryptographique ou broyage physique) en fin de vie. | IG1 | Données |
| 3.6 | Chiffrer les données sur tous les appareils des utilisateurs finaux (BitLocker / FileVault). | IG1 | Appareils |
| 3.7 | Établir un schéma de classification des données (Public / Interne / Confidentiel) et appliquer des étiquettes. | IG2 | Données |
| 3.8 | Documenter les flux de données entre systèmes internes et prestataires. | IG2 | Données |
| 3.9 | Chiffrer les données sur les médias amovibles (clés USB chiffrées). | IG2 | Appareils |
| 3.10 | Chiffrer les données sensibles en transit (TLS 1.2+). Désactiver FTP, Telnet, HTTP non sécurisé. | IG2 | Réseau |
| 3.11 | Chiffrer les données sensibles au repos sur les serveurs et systèmes de stockage. | IG2 | Données |
| 3.12 | Segmenter les environnements selon la sensibilité des données. | IG2 | Réseau |
| 3.13 | Déployer une solution DLP pour détecter et bloquer les transferts non autorisés. | IG3 | Données |
| 3.14 | Journaliser tous les accès aux données sensibles (qui, quoi, quand, depuis où). Conserver 12 mois. | IG3 | Données |
Application pour les PME québécoises
La priorité absolue : Safeguard 3.6 — activer BitLocker sur tous les portables. C'est simple, gratuit sur Windows 10/11 Pro. Ensuite 3.2 (inventaire des données) et 3.5 (effacement sécurisé des vieux appareils avant cession ou recyclage).
Quiz de validation — 5 questions
1. Quelle action IG1 est prioritaire pour se conformer à la Loi 25 ?
2. Quel principe doit guider la configuration des accès aux données ?
3. Un portable sans chiffrement est perdu. Quelle est la conséquence sous la Loi 25 ?
4. Que signifie 'rétention des données' (Safeguard 3.4) ?
5. Combien de Safeguards IG1 contient le Contrôle 3 ?
Voir aussi