Archives pour la catégorie ‘Brèche dans la protection des données’

le 20 janv 2017

Les erreurs d’envois postaux massifs et les moyens de les éviter en cette période des déclarations d’impôt


mail theft

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Le temps des impôts approche et bon nombre d’entreprises préparent des envois postaux massifs à l’intention de leurs clients. Les renseignements que renferment ces envois postaux sont probablement de nature plutôt délicate : des noms, des adresses, des numéros d’assurance sociale et des détails financiers. Vous ne voulez pas qu’ils tombent entre de mauvaises mains!

Chaque année, des Canadiens communiquent avec le Commissariat pour se plaindre qu’ils ont reçu des renseignements financiers sensibles qui ne leur appartiennent pas. Un certain nombre d’entreprises communiquent aussi avec le Commissariat pour signaler des atteintes connexes.

Vous pouvez prendre des précautions pour éviter les erreurs d’impression ou d’envoi postal qui peuvent coûter cher à vos clients et ternir votre réputation de bonne gestion des renseignements personnels :

En savoir plus »


le 5 janv 2017

Blogue Savoir Techno : Votre identité – Moyens dont disposent les services pour une solide authentification


token

Traditionnellement, nous nous sommes toujours connectés aux systèmes en ligne à l’aide d’un nom d’utilisateur et d’un mot de passe. Cependant, ces justificatifs d’identité sont souvent compromis lorsque quelqu’un accède de manière illicite aux bases de données qui les contiennent ou lorsque nous sommes invités par la ruse à fournir de l’information à des fraudeurs ou des sites Web frauduleux (souvent par hameçonnage ou d’autres formes d’attaque d’ingénierie sociale). Une fois que ces justificatifs d’identité sont compromis, les fraudeurs peuvent les utiliser pour se connecter à des services en ligne connexes. Pire encore, les pirates peuvent accéder à plusieurs services lorsque les gens réutilisent les mêmes noms d’utilisateur et mots de passe.

Afin de mieux vérifier votre identité lorsque vous soumettez votre nom d’utilisateur et votre mot de passe, les organismes se tournent vers l’authentification à facteurs multiples (AFM). L’AFM vous oblige à présenter plusieurs types de justificatifs d’identité, comme un nom d’utilisateur et un mot de passe ainsi qu’un code unique affiché sur un jeton ou un téléphone intelligent. L’AFM peut contrecarrer les tentatives de connexion à un service de ceux qui devinent votre mot de passe ou utilisent des noms d’utilisateur et des mots de passe volés. Une technique connexe, mais moins efficace, consiste à effectuer une vérification en deux étapes qui nécessite deux éléments d’information du même type de facteur, comme deux éléments d’information que vous connaissez, tandis que l’AFM vous oblige à présenter plusieurs types de justificatifs d’identité.

En savoir plus »


le 9 nov 2016

Blogue Savoir Techno: Payez-moi pour recouvrer l’accès à vos renseignements personnels – Les rançongiciels montent en flèche!


business growth 1

Le rançongiciel est un type de logiciel malveillant (maliciel) qui, une fois installé sur un appareil ou un système, bloque l’accès à l’appareil ou au système ou encore à son contenu ou à ses applications. Vous n’avez alors d’autre choix que de verser une rançon pour rétablir toutes les fonctions de l’appareil. Des pirates informatiques ciblent des renseignements personnels ou sensibles au moyen d’un rançongiciel ou y ont accès en fouinant dans les ordinateurs ou les réseaux d’une organisation. Divers appareils sont touchés, notamment ceux utilisant une plateforme Windows, OS X ou Android. Des pirates ont ainsi attaqué des fournisseurs de soins de santé, des services de police, des écoles publiques, des universités et divers types d’entreprises ainsi que des internautes. Et le problème ne cesse de prendre de l’ampleur : selon les estimations de Symantec, les Canadiens ont été victimes de plus de 1 600 attaques par rançongiciel chaque jour en 2015.

En savoir plus »


le 11 janv 2013

La commissaire à la protection de la vie privée entame une enquête concernant l’atteinte à la protection des renseignements personnels de bénéficiaires de prêts étudiants survenue à Ressources humaines et Développement des compétences Canada


Le commissariat à la protection de la vie privée du Canada (CPVP) a annoncé aujourd’hui l’ouverture d’une enquête concernant une atteinte compromettant la protection des renseignements personnels de plus d’un demi‑million de clients de Ressources humaines et Développement des compétences Canada (RHDCC) et de 250 employés du Ministère.

Le CPVP a été informé par RHDCC de la disparition d’un disque dur externe contenant des renseignements personnels et des données de nature financière sur quelque 583 000 clients du Programme canadien de prêts aux étudiants et 250 employés de RHDCC. Après avoir reçu cet avis, la commissaire adjointe a déterminé qu’il y avait des motifs raisonnables de déposer une plainte émanant de la commissaire contre RHDCC pour établir si on a contrevenu à la Loi sur la protection des renseignements personnels. Le paragraphe 29(3) de la Loi sur la protection des renseignements personnels stipule que la commissaire peut mener une enquête aux termes de la Loi si elle est convaincue qu’il y a des motifs raisonnables de le faire.

La Loi habilite la commissaire à entreprendre une enquête lorsqu’elle estime qu’il y a une forte possibilité que cette enquête révéle une infraction à la Loi sur la protection des renseignements personnels.

Le Parlement a confié au Commissariat à la protection de la vie privée du Canada le mandat d’agir à titre d’ombudsman et de défenseur du droit à la vie privée au Canada. Le site Web du CPVP offre diverses ressources pour aider les gens à protéger leurs renseignements personnels, et il contient une section portant expressément sur le Vol d’identité qui présente une foire aux questions et des fiches d’information intitulées Comment protéger vos renseignements personnels et Le vol d’identité : qu’est-ce que c’est, et quoi faire.

Pour de plus amples renseignements, visitez le site www.priv.gc.ca.


le 10 mai 2012

Lorsqu’on utilise la technologie pour protéger les renseignements personnels, on peut éviter de grosses pertes en prenant quelques mesures simples


Un sondage mené par le Commissariat à la protection de la vie privée du Canada (CPVP) auprès de 1 006 entreprises à l’échelle du Canada révèle que de nombreuses entreprises n’utilisent pas les pratiques ou les outils technologiques recommandés pour protéger les renseignements personnels de leurs clients qui sont conservés de façon numérique.

À titre d’exemple, le sondage a révélé que bien que la grande majorité des entreprises utilisent des mots de passe pour protéger les renseignements personnels conservés sur des dispositifs numériques, bon nombre d’entre elles ne veillent pas à ce que les mots de passe soient difficiles à deviner ou à ce que leurs employés les changent régulièrement — deux pratiques qui peuvent vraiment aider à décourager les criminels en ligne.

Le sondage a également révélé que près de la moitié des entreprises qui conservent des renseignements personnels sur des dispositifs portables, comme des ordinateurs portatifs, des clés USB et des tablettes électroniques, n’utilisent pas le cryptage pour protéger l’information qui se trouve sur ces dispositifs, et ce, malgré le fait que ce genre de dispositifs soit beaucoup plus susceptible d’être égaré, perdu ou volé.

Bien que le sondage ait démontré que de nombreuses entreprises canadiennes reconnaissent l’importance de protéger les renseignements personnels, il est essentiel qu’elles prennent le temps de bien le faire — pour leurs clients, ainsi que pour leur propre survie. Les entreprises qui compromettent les renseignements personnels risquent de perdre la confiance de leurs clients et, au bout du compte, de perdre leur clientèle.

Les résultats du sondage intégral, dont la marge d’erreur est de plus ou moins 3,1 %, 19 fois sur 20, peuvent être consultés sur notre site Web.


le 8 mai 2012

Un rapport sur les atteintes à la sécurité des données dans le monde attire l’attention sur des tendances alarmantes


Un rapport de Verizon (en anglais seulement) met en évidence certaines tendances extrêmement troublantes concernant les types d’atteintes à la sécurité des données qui se produisent dans le monde, et le fait que des organisations de toutes tailles ne parviennent pas à réagir adéquatement aux nouvelles menaces.

Verizon a analysé 855 atteintes qui se sont produites en 2011. Ces atteintes concernent des organisations de 36 pays et ont mis en péril plus de 174 millions de dossiers. En eux‑mêmes, ces chiffres sont alarmants. Mais certaines des statistiques tirées de l’analyse des incidents sont tout aussi préoccupantes. Par exemple :

  • Quatre‑vingt‑dix‑huit pour cent (98 %) des atteintes examinées dans le rapport ont été déclenchées par des agents externes, notamment des criminels organisés, mais aussi par un nombre croissant de groupes d’activistes. Seulement 4 % des atteintes ont mis en cause des employés internes.
  • Le piratage a été à l’origine de la grande majorité des incidents (81 %). Des logiciels malveillants de plus en plus invasifs ont été utilisés dans 69 % des cas.
  • La plupart des atteintes auraient pu être évitées. Selon les spécialistes de Verizon, 96 % des attaques n’étaient pas très élaborées.
  • Presque toutes les entreprises concernées (96 %) contrevenaient aux normes de sécurité sur les données de l’industrie des cartes de paiement.
  • Apparemment, les organisations ont aussi eu de la difficulté à détecter les atteintes : 92 % des incidents ont été découverts par un tiers et, en général, des semaines ou des mois après que l’atteinte se soit produite.

Le rapport se lit très facilement, et il est même amusant à l’occasion (qui savait qu’il existe une méthode à la « Sesame Street » pour détecter les atteintes?).

Il contient aussi une page de conseils de sécurité aux points de vente, que l’on peut découper et remettre dans les magasins, restaurants et autres entreprises que l’on fréquente. Des stratégies d’atténuation plus détaillées sont présentées à la fin du document.

Le rapport soulève des questions fondamentales et amène les lecteurs à se demander si, malgré tous les avertissements et les risques de plus en plus démontrés, les organisations prennent vraiment au sérieux les normes de sécurité et leurs responsabilités en matière de protection des données.


le 27 mars 2012

La protection de la vie privée : Une bonne pratique, avantageuse pour les affaires


Une étude publiée récemment fournit de nouveaux éléments qui démontrent le lien entre la protection de la vie privée et des renseignements personnels et la confiance des consommateurs.

L’étude Edelman*, publiée en février 2012, montre que les préoccupations des consommateurs à l’égard de la protection et de la sécurité des données se traduisent par une diminution marquée de leur confiance envers les organisations. Par exemple, 92 % des personnes interrogées disaient que la protection et la sécurité des données étaient des considérations importantes pour les institutions financières, mais seulement 69 % d’entre elles faisaient vraiment confiance à ces institutions pour protéger adéquatement leurs renseignements personnels. L’écart était encore plus grand dans le cas des détaillants en ligne : 84 % des répondants disaient que la sécurité des renseignements personnels était une priorité, mais seulement 33 % d’entre eux faisaient confiance aux détaillants pour les protéger.

Il n’est pas étonnant que les consommateurs soient inquiets. Les médias rapportent de nombreuses lacunes dans la protection et la sécurité des renseignements personnels. Qu’il s’agisse de failles dans les applications mobiles*, de transmission rétroactive des archives* à des fins de marketing, de la fusion de services* ou d’atteintes à la sécurité des données*, les utilisateurs sont constamment confrontés au fait que leurs renseignements personnels sont menacés. Le manque de transparence des organisations et le malaise ressenti par les consommateurs devant la transmission transfrontalière des données*, l’externalisation* et le stockage en nuage* ne font qu’exacerber le problème.

La confiance chancelante des consommateurs semble être en corrélation avec une volonté accrue d’investir dans la protection de leur vie privée. Alors qu’une étude de 2009* concluait que les consommateurs n’étaient pas disposés à payer un supplément pour la protection des renseignements personnels, une recherche récente de la European Network and Information Security Agency (ENISA)* montre que les gens évaluent les considérations de sécurité et de protection de la vie privée aussi soigneusement que les considérations liées à la conception, au style et aux dimensions d’un produit. Toutes choses étant égales par ailleurs, l’étude révélait que les consommateurs étaient disposés à payer un prix plus élevé pour protéger leur vie privée.

L’investissement dans la protection de la vie privée n’est pas la seule façon dont les consommateurs expriment leurs préoccupations : les données de l’étude Edelman montrent également que près de 50 % des participants évitent ou cessent de faire affaire avec des entreprises qui ont subi une atteinte à la sécurité des renseignements personnels. Dans l’éventualité où une organisation avec laquelle ils ont déjà des liens subissait une atteinte à la sécurité des renseignements personnels, jusqu’à 70 % des personnes sondées disent qu’elles seraient alors prêtes à mettre fin à la relation ou à changer de fournisseur.

De telles constatations devraient sonner l’alarme pour les organisations, une indication qu’il ne suffit plus de « gérer » les préoccupations en matière de sécurité et de protection de la vie privée. La protection de la vie privée et la sécurité doivent plutôt être considérées comme des priorités et être renforcées au point de devenir des éléments fondamentaux de l’image de marque d’une entreprise. La confiance des consommateurs est essentielle, et elle dépend de leur sentiment de sécurité. Et les nouvelles données indiquent de plus en plus que la protection de la vie privée est une bonne pratique, avantageuse pour les affaires.

* en anglais seulement.


le 14 nov 2011

Les choses de valeur ont toujours un prix


Beaucoup de gens ont tendance à croire que le contenu sur Internet est gratuit. 

Nous pouvons effectivement passer d’innombrables heures à lire des articles de nouvelles en ligne ou à regarder des vidéos sur YouTube, et ce, sans débourser un sou.

Mais, y a-t-il un prix à payer?

Certains diront que tout dépend de la valeur que chacun accorde à sa vie privée.

Toutefois, une chose est certaine, pour les publicitaires les traces de données que nous laissons derrière en naviguant sur le Web valent leur pesant d’or.

Notre adresse IP peut révéler la ville ou la région dans laquelle nous habitons.

Nos allées et venues sur Internet donnent une très bonne idée de ce qui nous intéresse, surtout si nous naviguons régulièrement, voire quotidiennement, sur les mêmes sites.

Tout ça pour dire qu’une fois qu’un site que vous visitez vous donne un témoin, les publicitaires suivent les miettes que vous laissez derrière.

Ils sont donc en mesure de cibler des messages publicitaires adaptés à vos intérêts qui apparaissent sur un bon nombre de sites que vous visitez.

Certains peuvent voir cela comme un avantage puisqu’ils préfèrent se faire offrir des produits et services qui correspondent à leurs intérêts.

Certains peuvent être irrités par la pensée qu’ils soient sans cesse surveillés.

Si vous souhaitez en apprendre davantage sur la publicité comportementale, je vous invite à cliquer ici pour lire notre dernière fiche d’information.

Restez à l’affût. Nous vous donnerons d’autres renseignements sur ce sujet au cours des prochaines semaines sous forme d’information pour les organisations.


le 4 mars 2009

Croyez-moi, la blessure est sérieuse


C’est ce qu’indique un rapport du Collège Dartmouth; il avance qu’aux États-Unis, les « hémorragies de données » proviennent de toutes les instances du secteur de la santé : les hôpitaux, les médecins, les laboratoires ainsi que les fournisseurs de services sous contrats.

Par exemple, les chercheurs ont découvert qu’un document de 1 718 pages – provenant d’un laboratoire de tests médicaux et contenant les numéros de sécurité sociale, des renseignements sur les assurances et les codes de traitements de milliers de patients – était dévoilé sur un réseau pair à pair, de même que deux tableurs provenant de bases de données du système d’un hôpital, lesquels renfermaient les renseignements personnels hautement sensibles de plus de 20 000 patients, y compris les codes associés aux diagnostics.

Si le rapport fait état de plusieurs problèmes inquiétants, il est frappant de savoir que la source du problème ne réside pas dans un employé mal intentionné qui s’adonne à la fraude d’identité en milieu médical, mais plutôt dans la communication par inadvertance de renseignements via des réseaux en ligne d’échange de fichiers. Une telle histoire ne fait que justifier davantage les inquiétudes des patients relativement à la protection de leurs renseignements personnels sur la santé. Maintenant que des fonds additionnels seront alloués à l’élaboration du système de dossiers de santé électroniques ici au Canada, il nous faudra réfléchir par deux fois aux mesures que prendra le secteur des soins de santé pour préserver la confiance des patients.

L’Association médicale canadienne a abordé cette question lors d’une conférence sur la santé en janvier 2009. Selon elle, les résultats de sondages d’opinion des dix dernières années indiquent qu’invariablement, 11 % des répondants cachent des renseignements à leurs médecins en raison d’inquiétudes par rapport à la protection de leur vie privée. L’Alberta Medical Association a fait part de préoccupations semblables dans ses observations au Comité qui se penchait sur le projet de loi 52 (rapports de situation) pour cette province. « Si les patients doutent que nous puissions protéger leur vie privée et craignent que nous soyons tenus de communiquer les renseignements qu’ils nous confient, ils ne nous diront pas tout ce que nous devons savoir pour établir un bon diagnostic et fournir les soins adéquats. »

La course pour les dossiers de santé électroniques risque bien de faire en sorte que plus de gens seront préoccupés et anxieux relativement à la protection de leurs renseignements personnels sur la santé – il importe donc que nous gardions ces points de vue en tête pendant les prochaines années.

Une étude, que nous avons cofinancée, menée par EKOS en 2007 indique que 45 % des personnes s’inquiètent qu’on accède à leurs renseignements à des fins malveillantes; 37 % s’inquiètent que les procédures de protection de la vie privée et de sécurité ne soient pas respectées par ceux et celles qui ont accès aux dossiers; et 55 % souhaitent être en mesure de masquer des renseignements sensibles de leur dossier pour les cacher de certains utilisateurs autorisés à accéder à leurs dossiers médicaux.

Nous croyons qu’accorder aux patients un certain contrôle sur l’accès à ces renseignements personnels sensibles est essentiel pour préserver la confiance des patients en le système de soins de santé. Il faut à tout prix éviter qu’un plus grand nombre de patients cachent des renseignements à leurs intervenants en matière de santé parce qu’ils craignent que leur vie privée ne soit pas protégée ou parce qu’ils entendent parler d’atteintes à la vie privée mettant en jeu des renseignements médicaux.

Nous devons respecter les souhaits des patients : qu’ils puissent exercer un contrôle sur leurs renseignements personnels sur la santé; que des lois strictes pour protéger la vie privée des patients soient adoptées; que la transparence et la responsabilisation à l’endroit des patients soient de mise. Il va sans dire que les organisations doivent se protéger des atteintes à la vie privée, comme les dévoilements sur les réseaux pair à pair, qui minent la confiance des patients en l’intégrité du système.

Il faut remercier SC Magazine qui a présenté cette étude du Collège Dartmouth dans un article.


le 18 déc. 2008

Vos renseignements – quelle valeur ont-ils?


Au sud de la frontière, Sony Music a récemment conclu un accord avec la Federal Trade Commission (FTC) des États-Unis après que cette dernière a déposé une poursuite contre Sony selon laquelle la compagnie aurait enfreint le droit à la vie privée des enfants.

La semaine passée, la FTC a accusé Sony d’enfreindre la Children’s Online Privacy Protection Act, ou COPPA, en recueillant, entretenant et communiquant les renseignements personnels d’enfants de moins de 13 ans sans le consentement des parents.

La FTC estime que Sony a recueilli les renseignements personnels d’environ 30 000 enfants sur 196 sites Web exploités par Sony Music. Ces renseignements comprennent les nom, adresse, numéro de téléphone cellulaire, adresse de courriel, date de naissance, code postal, nom d’utilisateur et sexe. Mais ce n’est pas tout :

« Plusieurs de ces sites permettent également aux enfants de créer des pages personnelles d’admirateurs, de revoir les albums des artistes, de télécharger des photos ou des vidéos, d’afficher des commentaires sur des babillards électroniques et des forums en ligne, et de participer à une messagerie privée. » [Traduction]

La journée suivante, Sony et la FTC ont annoncé que la poursuite avait été réglée à l’amiable, puisque la compagnie avait accepté de payer une amende de 1 million de dollars, de mettre en place un processus de présélection conforme aux règlements de la FTC et d’embaucher un agent de conformité du Web pour surveiller cet enjeu. On dit que l’amende est la plus grande entente jamais conclue dans une affaire liée à la COPPA, laquelle est entrée en vigueur en 2000.

Une façon (assez simpliste d’ailleurs) de considérer cette entente est qu’elle équivaut à environ 33 $ par renseignement concernant un enfant.

Mais ces enfants – et le reste des visiteurs des sites Web de Sony – peuvent envisager la valeur de leurs renseignements personnels d’une autre façon. Une étude récente faite par IBM a permis de démonter que les gens – les jeunes en particulier – étaient prêts à échanger leurs renseignements personnels contre des incitatifs comme de la musique ou des vidéos de grande qualité gratuites, des rabais dans leurs magasins préférés ou des points échangeables à des hôtels ou des compagnies aériennes :

« Près de 60 pour cent des répondants étaient prêts à fournir des renseignements à leur sujet – comme l’âge, le sexe, le style de vie ou les préférences linguistiques – en échange de quelque chose qui a de la valeur. Les répondants plus jeunes étaient moins préoccupés au sujet de la communication de leurs préférences personnelles, et un nombre assez important de participants de plus de 45 ans étaient également prêts à communiquer des renseignements à leur sujet. Toutefois, tous les répondants ont indiqué avoir besoin d’une contrepartie ou d’un incitatif en échange de leurs renseignements personnels. » [Traduction]

Enfin, quelle valeur ont vos renseignements personnels sur le marché noir?

Le cybercrime est une grande entreprise – on dit maintenant qu’il rapporte encore plus que le commerce international de la drogue. Dans le monde actuel, il est possible de vendre et d’acheter des renseignements figurant sur les cartes de crédit pour aussi peu que 1 $, et des identités complètes peuvent être achetées pour 5 $.

Alors quelle est la valeur de vos renseignements personnels? Autant que le soin que vous mettez à les protéger.