Les institutions financières sont les principales cibles des failles de sécurité. Bien que les médias nous rappellent souvent les fuites de réseaux très médiatisées, les institutions financières de toutes tailles sont exposées à des risques. La divulgation involontaire d'informations sensibles sur les clients n'étant pas une question de "si", mais de "quand", il est essentiel que vous soyez prêt à réagir de manière efficace en cas de violation.
Afin de se préparer aux failles de sécurité, les institutions financières doivent renforcer leurs contrôles de sécurité des données et se préparer à un coup financier potentiellement important si ces contrôles sont insuffisants. Face aux menaces permanentes de virus, de pirates informatiques et d'utilisation non autorisée d'informations sensibles, votre institution doit réagir en prévenant et en détectant les cyber-attaques et en y réagissant grâce à un programme de cyber-sécurité bien orchestré.
Composantes d'un programme de sécurité
La loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) oblige certaines entreprises, y compris les institutions financières, à assurer la sécurité et la confidentialité des renseignements personnels sensibles. Chaque province dispose également de lois concernant les droits individuels à la confidentialité des informations personnelles. Toutes les institutions financières doivent prendre des mesures pour assurer la sécurité des informations relatives aux clients. Les mesures adoptées dépendent de la taille et de la complexité de l'entreprise, de la nature et de l'étendue de ses activités et de la sensibilité des informations sur les clients qu'elle possède. Les plans de sécurité des données des employeurs peuvent inclure les recommandations suivantes :
- Un coordinateur désigné du programme de sécurité de l'information
- une évaluation des risques pour les informations relatives aux clients dans chaque domaine d'activité de l'entreprise et une évaluation des mesures de protection actuelles pour contrôler ces risques
- Un programme en place pour prévenir les failles de sécurité
- les prestataires de services qui, par contrat, maintiennent des garanties appropriées
- Ajustement régulier du programme de sécurité de l'information en fonction des circonstances, de l'évolution des activités de l'entreprise ou des résultats du contrôle de la sécurité.
Créer un plan formel et documenté de gestion des risques qui aborde la portée, les rôles, les responsabilités, les critères de conformité et la méthodologie pour effectuer des évaluations des cyberrisques. Ce plan doit comprendre une caractérisation de tous les systèmes utilisés par l'organisation en fonction de leur fonction, des données stockées et traitées et de leur importance pour l'installation.
Formation des employés
Les employés qui utilisent des données sont la première ligne de défense contre les failles de sécurité. Une formation approfondie est la clé de voûte de tout programme de sécurité de l'information. Suivez les lignes directrices suivantes pour promouvoir la coopération des employés.
- Vérifier les antécédents avant l'embauche.
- Demandez aux employés d'examiner et de signer la politique de confidentialité et de sécurité de votre entreprise.
- Limiter l'accès aux informations aux employés qui en ont besoin dans le cadre de leurs fonctions.
- Exiger des employés qu'ils utilisent des mots de passe robustes, comprenant des lettres majuscules et minuscules, des symboles et des chiffres.
- Former les employés à ranger le matériel tel que les ordinateurs portables ou les appareils mobiles dans des endroits sûrs.
- Former les employés à crypter les informations, à verrouiller les pièces et les armoires et à signaler toute tentative d'obtention d'informations sur les clients.
- Rappeler aux employés l'obligation légale de préserver la sécurité et la confidentialité des informations et imposer des mesures disciplinaires aux contrevenants.
- Désactiver immédiatement les mots de passe des employés licenciés.
Réseaux et systèmes d'information
Concevez vos systèmes d'information de manière à ce qu'ils soient aussi protégés que possible contre les failles de sécurité.
- Prenez des mesures de précaution lorsque vous choisissez un fournisseur d'accès à Internet (FAI). Vérifiez l'engagement du fournisseur en matière de sécurité.
- Utiliser des procédures d'audit appropriées pour détecter immédiatement la divulgation inappropriée ou le vol d'informations sur les clients.
- Tenez un inventaire des ordinateurs et autres appareils mobiles de votre entreprise.
- Éliminer les informations relatives aux clients de manière sécurisée, en déchiquetant les papiers et en effaçant les données sur le matériel électronique tel que les ordinateurs ou les disques durs.
En cas de violation
Il est important de réagir rapidement et de manière appropriée si votre entreprise est victime d'une faille de sécurité. Suivez les étapes suivantes pour minimiser les dommages.
- Préserver et examiner les dossiers ou les programmes susceptibles de révéler l'ampleur de la violation.
- Sécuriser toute information susceptible d'avoir été compromise.
- Informer les consommateurs, les forces de l'ordre et les entreprises si la violation présente un risque de vol d'identité, d'activité criminelle ou d'autres préjudices connexes. Les lois provinciales relatives à la notification varient.
Transférer le risque
La cybersécurité est une préoccupation majeure pour toutes les institutions financières. Le coût d'une violation de la sécurité peut être considérable :
- Services de surveillance du crédit pour les clients concernés
- Création de nouveaux numéros de compte et rétablissement de numéros de compte sécurisés
- Délivrer de nouvelles cartes de crédit ou de débit
- Engager une société de gestion de crise ou de relations publiques
- Recours collectifs
- Dommages irréversibles à l'image de marque de l'entreprise
Contactez le groupe Axis Insurance pour en savoir plus sur nos ressources en matière de gestion des risques et nos solutions d'assurance.
