top of page

OBNL : protégez votre
environnement de travail !

Le 28 janvier est la Journée internationale de protection des données personnelles. À l’occasion, Technologies BlueEden inc lance OBNL, protégez votre environnement de travail, une foire aux questions contenant les réponses aux 15 questions les plus posées quant aux outils technologiques à mettre en place dans son organisation.

 

Cette initiative fait suite à celle lancée le 28 janvier 2023, soit OBNL : protégez vos données !, une série de vidéos gratuites destinée aux intervenant(e)s et administrateur(trice)s d’organismes sans but lucratif afin de les sensibiliser à la protection des renseignements personnels.

Réalisée par Audrey Shink, fondatrice, le tutoiement est utilisé afin de créer une approche plus personnalisée.

Vidéos explicatives

Foire aux questions

  • Devrais-je me procurer des ordinateurs et appareils réusinés ou usagés pour mon organisation ?
    Très souvent, non. Un ordinateur ou un téléphone mobile a une durée de vie utile de 3 à 5 ans, non pas nécessairement car il deviendra défectueux mais bien car la technologie évolue et nos applications sont toujours plus demandantes. Quoique que de donner une deuxième vie aux électroniques est bon pour la planète, il est souvent contre-productif de faire l'acquisition d'ordinateurs usagés ou réusinés : l'appareil est plus lent, répond moins rapidement, nous prenons plus de temps à réaliser nos tâches, sans compter la frustration quand il bogue ou gèle. ​ De plus, le système d'exploitation (Windows, MacOS, Android, iOS, etc.) a généralement atteint sa durée de vie utile également et donc, les mises à jour de sécurité ne sont plus disponibles, t'exposant à des failles et à des fuites d'informations sensibles. ​ Il est donc préférable d'acheter neuf et de prévoir un plan de remplacement de 20% de son parc informatique à chaque année et ce, sur 5 ans. La location d'appareils neufs est également possible.
  • Quels sont les premiers outils que je devrais mettre en place pour rehausser ma cybersécurité ?
    La double-authentification sur TOUTES nos applications est un incontournable, idéalement configurée dans une application d'authentification lorsque l'option est disponible. Les pirates informatiques ont développé des moyens pour contourner la vérification par texto et par courriel. tu peux l'activer toi-même dans tous tes comptes et tous tes logiciels. ​ Avoir une sauvegarde est cruciale et ce, même si ton organisation fonctionne uniquement sur le nuage. Les géants des stockages de données (Microsoft, Google, etc.) ne sont pas responsables de nos données si une perte ou une cyberattaque survient. Les fournisseurs informatiques offrent des produits de sauvegarde automatisés très simples et, selon les besoins, ils sont généralement peu dispendieux pour la paix d'esprit qu'ils apportent. ​ La gestion des mots de passe est souvent un casse-tête incroyable pour les organisations. Il est conseillé de faire l'acquisition d'un gestionnaire de mots de passe local ou infonuagique. Des alternatives gratuites et payantes existent sur le marché. Selon les besoins, ton fournisseur informatique peut te faire des recommandations.
  • Puis-je utiliser une adresse courriel Gmail, Hotmail ou Outlook pour mon organisme ?
    Non. Les fournisseurs de boîtes courriels gratuites tels que Microsoft et Google stipulent clairement dans les termes et conditions qu'il est illégal d'utiliser les produits gratuits à des fins corporatives et ce, même si l'organisation n'est pas lucrative. Non seulement tu t'exposes à des amendes, de plus, ce type de courriels est peu sécurisé et donc, en cas de cyberattaques, il est pratiquement impossible de récupérer quoique ce soit à partir de ce type de boîtes. ​ À noter que les organismes à but non lucratif ont droit à 10 courriels gratuits Microsoft ou Google. Renseigne-toi à ton fournisseur informatique spécialisé en OBNL pour faire le pont entre la plateforme Techsoup et Microsoft ou Google.
  • Est-ce qu'un antivirus gratuit peut me protéger adéquatement ?
    Non et, même le meilleur antivirus au monde ne te protège pas contre tout. D'une part, les antivirus gratuits sont rarement les plus à jour en ce qui a trait aux nouveaux virus sur le marché mais aussi, ne respectent pas les dernières bonnes pratiques en matière de cybersécurité. De nos jours, un antivirus de type EDR est recommandé : il analyse non seulement pour les derniers virus connus, mais il analyse également le comportement de ton ordinateur. S'il se passe quelque chose d'anormal, l'antivirus de type EDR pourra prendre action automatiquement pour tenter d'enrayer la menace ou du moins, isoler ton poste du réseau pour éviter que tous et toutes soient contaminé(e)s. ​ À noter qu'un antivirus EDR avec analyse du comportement est inclus dans les 10 licences gratuites Microsoft Business premium offertes aux OBNL. Ton fournisseur informatique pourra t'aider à le configurer.
  • Ai-je absolument besoin d'un VPN (réseau privé virtuel) ?
    Ça dépend. Si tes collègues et toi devez travailler sur une connexion publique ou sur un réseau pour lequel vous n'avez aucune idée du niveau de sécurité, oui, il faut en utiliser un. Même chose à la maison ! Il existe des solutions matérielles et logicielles, selon ton besoin et ton "infrastructure informatique". ​ Si vous travaillez uniquement du bureau et que vous avez votre propre connexion Internet, un VPN est inutile. ​ Grosso modo, un réseau privé virtuel permet d'accéder sécuritairement à distance à des données sur un serveur physique à tes bureaux, mais aussi à sécuriser et brouiller les communications sur un réseau public ou moins sécuritaire, à la manière d'un tunnel protégé que les pirates ne peuvent transpercer.
  • Suis-je obligé(e) de faire les mises à jour de mes ordinateurs ?
    Absolument. Les mises à jour du système d'exploitation et du fabricant (Lenovo, HP, DELL, etc.) permettent de boucher les trous de sécurité potentiels dans un poste de travail. Des solutions existent pour automatiser le tout. Sinon, tu peux planifier un rappel chaque semaine dans ton calendrier pour t'assurer que ton ordinateur comporte les dernières mises à jour de sécurité.
  • Suis-je protégé(e) par ma cyberassurance ?
    Ça dépend. Tu dois avoir initialement répondu au questionnaire en toute honnêteté. Par exemple, les questionnaires demandent généralement si tu as activé la double-authentification sur toutes tes plateformes. Par contre, ce ne sont pas toutes les applicatoins et les logiciels qui le permettent. Si tu as répond "oui" et qu'un système mal protégé a été compromis, ta couverture d'assurances ne sera pas valide et effective. Les cyberassureurs et ta firme technologique peuvent t'accompagner dans l'acquisition d'une police d'assurance mais, il reste que ton organisation doit remplir ses devoirs et reponsabilités pour que le tout soit valide.
  • Comment m'assurer que mes mots de passe et mes données n'ont pas fuité ?
    Il est impossible d'avoir la certitude qu'aucun mot de passe n'ait fuité. Alors que des équipes plus spécialisées peuvent effectuer des recherches sur le Dark Web, des services gratuits et payants sont disponibles pour être avisés lorsqu'un mot de passe est publié et divulgué, notamment le site ihavebeenpwned.com. ​ Cependant, ce n'est pas parce que tu n'as pas reçu de notification que tes mots de passe ne sont pas en possession de gens malhonnêtes. Néanmoins, cela reste un moyen de prévention et, dans le cas où tu es notifié(e), assure-toi de changer ton mot de passe le plus rapidement possible. ​ À noter que le meilleur moyen de limiter les chances de fuites de mots de passe est d'utiliser un gestionnaire de mots de passe, tel que stipulé précédemment.
  • Comment bloquer efficacement les pourriels (spams) ?
    Des services gratuits et payants existent en ce sens, qu'on appelle anti-pourriels ou anti-spams. Si ton organisation bénéficie de licences Microsoft Business Premium gratuites ou à rabais, le service Defender for Office 365 de blocage des pourriels est inclus. Il suffit que ton (ta) informaticien(ne) le configure correctement. ​ Néanmoins, peu importe le service choisi, il est impossible de tout bloquer en s'assurant que tout ce qui est bon arrive nécessairement dans ta boîte. La sensibilisation, la formation et les campagnes d'hameçonnage sont d'excellents moyens de développer sa logique et son jugement en ce sens. ​ Et, peu importe les solutions choisies, dans le doute si un courriel est légitime ou non, on s'abstient et on le supprime.
  • Dois-je me conformer à la loi 25 - Loi sur la protection des renseignements personnels, même si mon organisation n'est pas lucrative ?
    Oui. La loi sur la protection des renseignements personnels concerne toutes les organisations, lucratives ou non et ce, depuis le 22 septembre 2022. Certains croient à tords qu'ils n'ont pas de renseignements sensibles... mais dès qu'un individu travaille ou collabore dans l'entreprise ou l'organisme, cela implique des données pouvant identifier une personne physique. On parle notamment des renseignements pour les ressources humaines et pour la paye, mais aussi les renseignements de ta clientèle. On peut aussi penser aux données des membres de ton conseil d'administration, de tes membres, etc. ​ Ton service technique peut parfois t'aider à te conformer au niveau technologique mais sache que les personnes les mieux placées pour t'aider avec la loi sont les avocat(e)s.
  • Que puis-je faire pour me conformer au mieux de mes moyens à la loi 25 - Loi sur la protection des renseignements personnels ?
    Plusieurs choses ! D'abord, si la loi 25 est un casse-tête pour ton organisation, rendez-vous au www.mesprocedures.ca pour obtenir ta trousse gratuite de modèles de documents et des vidéos explicatives. ​ Ensuite, tu devras produire une politique de confidentialité pour ton site Web. Si ton budget est limité, tu peux débuter en utilisant le formulaire de création d'une politique de confidentialité, disponible gratuitement pour 7 jours à www.lawdepot.ca et le faire réviser par un(e) avocat(e) en droit technologique. ​ Tu dois aussi afficher une bannière de consentement pour les visiteurs de ton site, où iels peuvent accepter ou refuser les témoins de navigation et retirer leur consentement à tout moment. Tu dois y expliquer à quelles fins seront utilisés les témoins, aussi appelés cookies. ​ De plus, tu dois publier le contact de ton RPRP, responsable de la protection des renseignements personnels et au moins une méthode pour le (la) contacter. ​ À noter que tu dois également obtenir le consentement des individus pour leur envoyer des publications massives : infolettres, marketing, etc. Ce consentement peut également être retiré à tout moment. ​ Puis, concrètement, tu dois mettre tous les moyens raisonnables en place pour assurer la protection des renseignements personnels que tu collectes : classeurs barrés, double-authentification sur tous tes systèmes, gestion adéquate des accès, stratégie de cybersécurité (antivirus EDR, pare-feu, sauvegardes, etc.) et ainsi de suite. ​ Tu dois aussi établir un processus d'anonymisation et de destruction des données. Les avocats et les firmes technologiques peuvent travailler conjointement pour t'aider avec cette portion de la loi.
  • Que puis-je faire au quotidien pour rehausser mes bonnes pratiques en sécurité informatique ?
    La formation régulière des équipes de travail et du ou de la responsable de la protection des renseignements personnels reste le meilleur moyen de limiter les incidents et les fuites d'informations. Il peut s'agir de plateformes de formation en ligne, de campagnes de sensibilisation, de conférences et/ou de formations avec un(e) professionnel en technologie et en cybersécurité. ​ Un truc que tu peux appliquer dès maintenant est que lorsque tu quittes ta station de travail, appuie sur les touches Windows et L pour verrouiller rapidement ta session. C'est une première protection pour éviter que quelqu'un se connecte à ton poste et navigue à travers tous les onglets déjà ouverts.
  • Si un problème informatique ou un cyberincident survient, qui est imputable ?
    Les questions légales devraient toujours êtres adressées aux avocat(e)s. Généralement, cela dépend si tu as un(e) informaticien(ne) dans ton équipe ou si tu collabores avec une firme technologique. Cela dépend aussi du contrat que tu as avec eux, mais également des accès administrateurs que tu conserves. ​ On te recommande également que, dans tes contrats de travail, tu y inclus une politique d'utilisation des technologies, d'y expliquer quelles sont les conséquences potentielles et de faire signer le tout par l'employé(e) ou le (la) bénévole.
  • Si je suis victime d'un cyberincident ou d'une cyberattaque, qui dois-je contacter ?
    Tu dois obligatoirement rapporter l'incident causant un préjudice sérieux à la CAIQ ou Commission d'accès à l'information du Québec. Tu dois également aviser les autorités locales, ton cyberassureur, le cas échéant et surtout, ton soutien informatique. À noter que généralement, la gestion des cyberincidents ne fait pas partie de la formation des professionnels en informatique : tu as le droit de demander un 2e avis ou de collaborer avec des spécialistes pour traverser la crise.
  • Y a-t-il d'autres mesures que je peux mettre en place au fil du temps pour rehausser ma cybersécurité ?
    Oui ! À moins d'avoir un énorme budget et beaucoup de temps et de ressources, on te conseille de répartir les dépenses et projets technologiques sur 5 ans. Grosso modo, les moyens que toute organisation devraient mettre en place sont les suivants : · Utilisation d’un VPN pour toutes et tous · Campagnes d’hameçonnage · Gestionnaire de mots de passe · Politiques d’entreprises claires · Mises à jour logicielles et matérielles vérifiées et automatisées · Antivirus à jour · Pare-feu d’entreprise · Surveillance de tenant · Sauvegardes sur site et hors site · Ateliers de sensibilisation · Plan de relève · Analyses du Dark Web · Filtrage du contenu Web · Audit technologique · Tests d’intrusion par une firme indépendante · Surveillance d’accès aux fichiers · Encryption des courriels et disques durs · Authentification multifacteur · Documentation TI

Des questions ? Contacte-nous !

Graciàs ! On te recontacte dans les 24 à 48 heures ouvrables

bottom of page