Archives de catégorie : Droit (Général)

Le problème continu des rançongiciels: de pire en pire

Publié le par

J’assistais cette semaine à MAPLESEC, une conférence organisée par IT World Canada afin de parler de la cybersécurité au Canada, sur quelques jours. Super intéressant!

À ce sujet, on  apprenait cette semaine que dans la dernière année, la majorité des entreprises canadiennes qui ont été victimes d’une cyberattaque par l’entremise d’un rançongiciel («ransomware», en anglais) admettent avoir payé la rançon. Comme on peut l’imaginer aisément, cette tendance de payer les malfrats pour récupérer nos données et/ou empêcher leur dissémination s’avère très problématique. Si les victimes paient généralement, les cybercriminels sont incités par la loi du marché poursuivre leurs activités liés aux rançongiciels – c’est tout simplement trop tentant.

Un rapport récent de l’entreprise de cybersécurité Sophos révèle que près du tiers des sociétés interrogées auraient été victime d’une attaque de ce type au cours de la dernière année.

Avec des stats pareilles, pas étonnant qu’un expert en assurance entendu cette semaine à MAPLESEC nous disait que les assureurs sont actuellement en hémorragie à cause des coûts associés aux réclamations attribuables aux rançongiciels. Semble que le coût des primes d’assurance pour assurer ce genre de risque exploseront, afin de permettre aux assureurs de demeurer rentables. Le conseil de l’expert à ce sujet d’ailleurs, était de vous munir de la meilleur couverture d’assurance que vous pouvez vous payer, dès maintenant. N’attendez pas!

Pas très étonnant non-plus, dans un tel contexte, que certaines juridictions, dont les États-Unis, contemplent adopter des lois qui règlementerait le paiement des rançons liées à ce genre d’attaque. Le projet de loi américain déposé récemment (le Ransom Disclosure Act), par exemple, exigerait que les entreprises qui paient de telles rançons en divulguent les détails dans les 48 heures au Department of Homeland Security. On est pas à interdire carrément te tels paiements, mais c’est clair qu’on commence collectivement à y penser, incapable d’endiguer ce déferlement de cyberattaques du genre.

Pas de doute, ce problème continu de nous confronter collectivement avec la réalisation que la négligence collective par rapport à la cybersécurité nous a mené dans un cul-de-sac, dont il faudra maintenant essayer de s’extirper en améliorant considérablement comment on gère tous notre cybersécurité.

Le Québec adopte sa nouvelle loi quant à la protection des données personnelles

Publié le par

Eh bien, notre législateur provincial n’a effectivement pas tardé à adopté sa version révisée du Projet de loi 64, alors que la nouvelle loi en résultant était finalement adoptée la semaine dernière. La loi refondue visant à protéger les renseignements personnels au Québec est ainsi publiée en version finale. C’est donc maintenant fait, le Québec s’est mis à la page pour ce qui est de ses propres règles (dont sa Loi sur la protection des renseignements personnels dans le secteur privé) visant à renforcer la protection des données que manipulent les entreprises à l’intérieur de la province.

Comme le mentionnaient récemment les médias, le Législateur espère ainsi débarrasser le Québec de sa «culture de négligence» désinvolte par rapport aux pratiques d’entreprise en matière de renseignements personnels. Avec une loi datant de la préhistoire des données, le Québec faisait jusqu’ici figure de parent pauvre de la protection des données, la plupart des entreprises préférant ne pas entendre parler de ce sujet, fort de l’impression (réelle!) que la loi québécoise n’avait que très peu de chances de mener à de véritables sanctions, même si on finissait par se faire prendre les doigts dans le piège à souris.

La nouvelle loi comporte des dispositions modernisées inspirées du règlement européen (le fameux  Règlement général sur la protection des données, ou «RGPD»), assorties de réelles sanctions pour les entreprises jugées délinquantes. Avec des amendes éventuelles pouvait s’élevées à des millions de dollars, on croit que la loi québécoise a ce dont elle a besoin pour FINALEMENT attirer l’attention des dirigeants d’entreprises, incluant ceux de simples PME, jugeant souvent jusqu’ici ne pas réellement avoir à se préoccuper de ce genre de choses.

Eh oui, bien qu’on le sache depuis longtemps (en principe), toute organisation qui collecte, utilise, partage ou communique des données à caractère personnel de tiers DOIT se conformer aux règles en matière de protection des renseignements visés. La négligence (ou l’aveuglement volontaire) quant à ces règles pourra désormais coûter cher aux organisations délinquantes, bien que la Commission d’accès à l’information (la «CAI»), affirme qu’elle « prendra en compte la capacité de payer des entreprises » en faisant appliquer cette loi.

La loi vient notamment aussi réaffirmer clairement qu’un consentement explicite, libre et éclairé s’avère nécessaire AVANT toute utilisation de données personnelles, à l’instar de ce qui se fait par exemple en Europe.

Malgré son adoption formelle par le Québec, la majorité des dispositions de la nouvelle loi n’entreront réellement en vigueur (dont ses amendes éventuelles) que dans deux (2) ans, le 22 septembre 2023.

Par contre, un petit nombre de dispositions entreront, elles, en vigueur dès septembre 2022, dont les celles qui prévoient l’obligation pour les entreprises d’aviser les victimes (et la CAI) des incidents tels de piratage informatique et qui auraient exposés leurs données à des fuites. En vertu de la nouvelle loi, en effet, toutes les organisations ont l’obligation de déployer des mesures de sécurité appropriés afin de protéger le genre de renseignements personnels qu’elles détiennent quant à autrui.

D’ici là, la CAI et nos entreprises ont pas mal de devoirs à faire pour se préparer à cette nouvelle réalité.

Top 10 des moyens d’optimiser votre utilisation du courriel

Publié le par

Je tombais ce matin sur un bon billet et dont le titre est 40 One-Sentence Email Tips (40 conseil quant au courriel) qui frappe très près de la cible, selon moi. Autant pour votre bénéfice que le mien, je me permets donc de débuter ma journée en distillant ces conseils en y mêlant des miens, basé sur mon expérience à lire et écrire des courriels depuis 20 ans -depuis le temps des BBS, en fait. Appelons ça de la sagesse numérique, si vous voulez.

Je lisais quelque part récemment  qu’on estime à plus de deux heures le temps qu’un employé d’organisation typique passe désormais à gérer ses courriels, chaque jour! Malheureusement, ce n’est pas parce qu’on y passe autant de temps que l’usager moyen comprend comment le faire correctement ou de façon optimale, oh que non.

Voici donc ma propre version de réflexions quant à la façon  d’utiliser intelligemment le courriel, dont question d’améliorer votre productivité:

  1. Pour réduire le temps que vous dévouez à gérer des courriels, envoyez-en moins -vous en recevez moins;
  2. Réfléchissez avant de consentir à ce qu’une organisation vous place sur sa liste d’envoi (d’infolettres, par ex.): chaque courriel reçu siphonne potentiellement votre énergie (votre attention) et du temps;
  3. Connaissez, entrainez et utilisez intelligemment votre appli de courriel : en 2021, gaspiller son temps à manuellement classer, étiqueter et/ou supprimer des courriel est totalement injustifiable;
  4. Attention au piège que représente le fait de répondre trop rapidement ou en tout temps aux courriels que vous recevez (par ex. instantanément ou à 21:00+): chaque réponse du genre entraine votre interlocuteur à s’attendre au même traitement de ses courriels à l’avenir, c’est une simple question de conditionnement;
  5. Commencez toute nouvelle communication en déterminant si le courriel est un mode approprié pour cet échange spécifique -un texto, une visio ou un appel serait-il plus efficace?: tous les échanges ne se prêtent pas nécessairement bien à un échange par courriels;
  6. Si le courriel s’avère effectivement approprié, choisissez minutieusement le(s) destinataire(s) : évitez de placer en C.C. (copie conforme) un grand nombre de destinataires superflus, sans y réfléchir, afin d’éviter de gaspiller leur temps -c’est un manque de respect!);
  7. Intitulez vos courriels avec un sujet décrivant réellement son contenu («dhu» me direz-vous?), mais vous seriez surpris du nombre de courriels reçu arborant des titres tels «message»);
  8. Débutez vos courriels par une phrase de contexte et un énoncé du but de votre courriel, c’est la phrase clé du courriel : quel est l’action, la réponse ou l’information que vous désirez obtenir?
  9. Dans le corps de vos courriels, soyez bref, autant dans vos phrases que dans vos paragraphes, en évitant les courriels trop longs (au besoin, placez les détails dans une pièce jointe);
  10. Facilitez/accélérez la compréhension du destinataire en utilisant amplement d’espaces, de listes de points identifiés par des puces («bullets») en retrait, etc.: votre lecteur espère probablement traiter votre courriel en 30 secondes ou  moins.

Bien que le courriel s’avère un moyen de communication extraordinaire, bon nombre d’usagers continuent de mal l’employer. Je pense que nous bénéficierions tous de réfléchir un peu plus à ce genre de considérations.