Version bêta — Contenu en cours de vérification

Ce guide Loi 25 est en cours de révision et peut contenir des inexactitudes. Ne l'utilisez pas seul pour prendre des décisions juridiques ou réglementaires. Pour toute décision à portée légale, consultez un avocat ou la Commission d'accès à l'information (CAI).

⚖️
Information juridique — pas un avisCe contenu est éducatif et général. Il ne constitue pas un avis juridique (art. 128, Loi sur le Barreau, RLRQ c. B-1) et ne qualifie pas votre situation particulière. Consultez un avocat ou la CAI pour toute décision.
CHAPITRE 10

Volet technique — TI & CISO

La loi exige des mesures de sécurité raisonnables et proportionnées — pas une technologie précise. Ce chapitre traduit les obligations légales en mesures concrètes.

10.1 · Fondation

Cartographie des données (Data Mapping)

On ne protège que ce que l'on connaît. Construisez et maintenez un inventaire :

  • Quelles données personnelles détenons-nous? (clients, employés, prospects, fournisseurs)
  • Où sont-elles? (serveurs, postes, SaaS, sauvegardes, courriels, papier)
  • Qui y a accès?
  • Combien de temps les gardons-nous?
  • Vers où circulent-elles? (flux internes, hors Québec)
10.2 · Contrôle d'accès

Gestion des accès et MFA

  • Moindre privilège : chacun n'accède qu'à ce dont il a besoin pour son rôle
  • MFA obligatoire pour les accès distants et les comptes administrateurs
  • Révision périodique des droits (départs, changements de poste, contrats externes)
  • Journaliser les accès aux données sensibles
10.3 · Protection des données

Chiffrement — en transit et au repos

  • En transit : TLS pour tout échange (sites web, API, courriels sensibles)
  • Au repos : chiffrement des disques, des bases de données et des sauvegardes
  • Appareils mobiles et supports amovibles chiffrés
Cas clinique : un portable chiffré volé ne déclenche généralement pas de notification CAI — le risque de préjudice sérieux est faible si les données sont inaccessibles sans la clé.
10.4 · Détection

Journalisation et détection des anomalies

  • Conserver des journaux d'accès et d'événements suffisants pour détecter et investiguer
  • Mettre en place une surveillance des accès anormaux — un EDR ou un service géré (MSSP) selon les moyens
10.5 · Résilience

Sauvegardes 3-2-1 contre les rançongiciels

  • Règle 3-2-1 : 3 copies, sur 2 supports différents, dont 1 hors site ou hors ligne
  • Tester régulièrement la restauration — une sauvegarde non testée n'est pas une sauvegarde
  • Copies immuables ou hors ligne pour résister aux rançongiciels
10.6 · SaaS

Sécurité des fournisseurs infonuagiques

  • Vérifier les certifications des fournisseurs (SOC 2, ISO 27001) et la localisation des données
  • Configurer correctement les services SaaS — les fuites proviennent souvent de mauvaises configurations, pas de piratages sophistiqués
  • Activer les paramètres de confidentialité par défaut au plus haut niveau
10.7 · Fin de vie

Conservation et destruction sécurisée

  • Automatiser la purge des données arrivées à échéance selon le calendrier de conservation
  • Détruire de façon irréversible : effacement sécurisé (NIST 800-88), déchiquetage du papier
  • Documenter les destructions pour preuve de diligence
10.8 · Préparation

Plan de réponse aux incidents (PRI)

  • Rôles définis : qui décide, qui communique, qui corrige
  • Procédure d'escalade et de notification (lien avec le chapitre 7)
  • Coordonnées de la CAI, du RPRP, des fournisseurs, de l'assureur cyber
  • Exercices de simulation périodiques (au moins annuellement)
10.9 · Maillon humain

Sensibilisation du personnel

L'humain reste le maillon le plus exploité (hameçonnage, erreurs d'envoi). Prévoyez une formation récurrente et des rappels. L'Académie Cyber couvre exactement ces besoins.

10.10 · Cadres de référence

NIST CSF 2.0 · ISO 27001 · Contrôles CIS

La Loi 25 n'impose pas de cadre précis mais exige des mesures raisonnables. Appuyez-vous sur des cadres reconnus, adaptés à votre taille : NIST Cybersecurity Framework (CSF) 2.0, ISO/IEC 27001, Contrôles CIS. Voir le module Référentiels & Standards.

✓ Checklist technique

  • ☐ Inventaire des données personnelles à jour?
  • ☐ MFA activé sur tous les comptes distants et administrateurs?
  • ☐ Chiffrement en transit (TLS) et au repos?
  • ☐ Sauvegardes 3-2-1 testées (restauration vérifiée)?
  • ☐ Plan de réponse aux incidents écrit, avec rôles et simulation annuelle?
  • ☐ Formation de sensibilisation déployée au personnel?
← Fournisseurs & Hors QuébecPlan de conformité →