Incidents
Les incidents de confidentialité et les cyberattaques font désormais partie du quotidien des organisations québécoises. Les signalements à la Commission d’accès à l’information ont augmenté de façon marquée, et la majorité des incidents ne sont pas causés par des cybercriminels sophistiqués, mais par des erreurs internes ou des environnements mal configurés. Avec la Loi 25, les règles de gestion, d’analyse, de documentation et de déclaration sont plus structurées que jamais. Pour les PME, OBNL et organisations en croissance, la capacité à détecter, comprendre et gérer un incident est devenue un facteur de résilience, de conformité et de confiance numérique. Cet article présente les obligations à respecter, les faiblesses fréquentes et les leviers pour renforcer la capacité de réponse.
La Loi 25 définit un incident comme tout événement impliquant :
• Un accès non autorisé
• Une utilisation non autorisée
• Une communication non autorisée
• Une perte ou un vol
• Une atteinte à la protection des renseignements personnels
Un incident peut résulter de :
• Une erreur humaine ou une action involontaire
• Un accès mal encadré ou mal géré
• Une mauvaise configuration d’un système ou d’un service infonuagique
• Un fournisseur ou un sous-traitant insuffisamment encadré
• Un logiciel ou un outil mal sécurisé
• Un cyberincident : rançongiciel, compromission de compte, hameçonnage, exploitation de vulnérabilité
Dans la majorité des cas, les incidents proviennent de pratiques internes et non d’attaquants sophistiqués.
Un incident n’entraîne pas automatiquement une déclaration. L’organisation doit d’abord évaluer s’il existe un risque sérieux de préjudice. L’analyse repose notamment sur :
• La sensibilité des renseignements touchés
• Le contexte dans lequel l’incident survient
• Les conséquences possibles pour les personnes
• La probabilité que le préjudice se matérialise
Si le risque sérieux est établi, trois obligations s’appliquent.
1. Aviser la Commission d’accès à l’information L’avis doit être transmis dans les meilleurs délais en fonction des informations disponibles.
2. Aviser les personnes concernées L’avis doit contenir les éléments leur permettant de se protéger ou de limiter les impacts.
3. Documenter l’incident dans le registre obligatoire Le registre doit être tenu en tout temps, même lorsqu’aucun avis n’est requis.
Les organisations rencontrent souvent les mêmes obstacles :
• Incidents analysés trop tard ou sans méthode structurée
• Accès non révisés, trop larges ou mal encadrés
• Absence de processus formel de gestion des incidents
• Documentation partielle, incohérente ou non mise à jour
• Manque de coordination entre TI, RH, juridique et direction
• Fournisseurs et sous-traitants insuffisamment encadrés
• Difficulté à retracer l’origine ou le point d’entrée de l’incident
• Notion de « risque sérieux » mal comprise ou mal appliquée
• Sensibilisation insuffisante ou limitée à des initiatives ponctuelles
Le registre doit documenter, de façon claire et rigoureuse :
• La nature de l’incident
• Le moment où il est survenu
• Les renseignements touchés
• Les personnes visées
• Les mesures prises
• Les analyses de risques
• Les notifications effectuées
Un registre complet est un outil essentiel pour démontrer la diligence raisonnable en cas d’enquête.
1- Gouvernance et responsabilités
• Clarification des rôles et responsabilités de chaque unité
• Structure décisionnelle adaptée aux différents niveaux d’incident
• Processus de gestion d’incident formalisé, cohérent et réellement appliqué
2- Analyse de la posture de sécurité
• Gestion continue des vulnérabilités et des correctifs
• Accès et privilèges alignés sur les rôles, revus périodiquement
• Durcissement des environnements TI et infonuagiques
• Configuration sécurisée des plateformes collaboratives et des outils SaaS
3- Registre des incidents et documentation
• Structure normalisée pour assurer cohérence et traçabilité
• Documentation complète, à jour et représentative des événements réels
• Suivi clair des mesures prises, des décisions et des impacts
4- Encadrement des fournisseurs
• Vérification des pratiques opérationnelles et de sécurité
• Clauses contractuelles adaptées au niveau de risque et aux obligations légales
• Intégration des fournisseurs au processus de gestion d’incident et aux obligations de notification
5- Culture interne et vigilance
• Pratiques attendues clarifiées et communiquées à l’ensemble du personnel
• Formations ciblées selon les rôles et les niveaux d’exposition
• Messages courts, réguliers et orientés vers les bons réflexes
• Réduction des comportements internes à risque par une vigilance quotidienne
L’objectif est simple : permettre à l’organisation de réagir plus vite, plus efficacement et en pleine conformité.
Les incidents ne peuvent pas être éliminés, mais leurs impacts peuvent être maîtrisés. Une organisation qui dispose d’une gouvernance claire, d’une sécurité robuste, d’une documentation cohérente et d’une culture de vigilance est mieux préparée à protéger les personnes, à respecter la Loi 25 et à maintenir la confiance numérique.
