817 resultados para Sécurité informationnelle
Resumo:
L'obligation de sécurité informationnelle - c'est-à-dire la tâche qui incombe aux entreprises d'assurer l'intégrité, la confidentialité et la disponibilité de l'information découle, tant en droit québécois que dans une majorité de juridictions occidentales, d'une série de dispositions législatives imposant non pas l'adoption de comportements ou l'utilisation de technologies ou de procédés identifiables, mais bien l'implantation de mesures de sécurité «raisonnables », «adéquates », ou « suffisantes ». Or, dans un domaine aussi embryonnaire et complexe que celui de la sécurité informationnelle, domaine dans lequel les solutions disponibles sont multiples et où la jurisprudence est éparse, comment une entreprise peut-elle jauger avec justesse l'étendue de son obligation? Bref, comment établir ce que ferait une entreprise raisonnablement prudente et diligente dans un domaine où il n'existe actuellement aucune balise législative, jurisprudentielle ou même coutumière permettant de fixer avec justesse le niveau de diligence imposé par le législateur? L'absence de sécurité juridique offerte par une telle situation est patente et nécessite une reconfiguration du cadre opératoire de l'obligation de sécurité informationnelle afin d'en identifier les composantes et les objectifs. Cet exercice passera par la redéfinition de l'obligation de sécurité informationnelle comme obligation de réduire les risques qui guettent l'information à un niveau socialement acceptable. En effet, la sécurité pouvant être définie comme étant la gestion du risque, c'est donc le risque qui réside au cœur de cette obligation. Or, en analysant les risques qui guettent un système, soit en analysant les menaces qui visent à exploiter ses vulnérabilités, il est possible d'établir quelles contre-mesures s'avèrent utiles et les coûts associés à leur mise en œuvre. Par la suite, il devient envisageable, en recourant à la définition économique de la négligence et en prenant compte des probabilités de brèches de sécurité et des dommages escomptés, d'établir les sommes optimales à investir dans l'achat, l'entretien et la mise à jour de ces contre-mesures. Une telle analyse permet ainsi de quantifier avec un certain degré de précision l'étendue de l'obligation de sécurité informationnelle en offrant aux entreprises un outil s'inspirant de données matérielles auxquelles elles ont librement accès et s'intégrant aisément dans le contexte juridique contemporain.
Resumo:
Dans un contexte où les renseignements personnels sont aujourd’hui une « devise » commerciale importante, il importe de s’attarder à la responsabilité de leur protection. Les lois encadrant la protection des renseignements personnels imposent notamment aux entreprises du secteur privé une obligation de sécurité. Par contre, elles ne prévoient pas de sanction monétaire en cas de violation. Il faut donc se tourner vers le droit de la responsabilité civile afin de contraindre les entreprises à adopter des mesures de sécurité. Or, le régime de responsabilité civile actuel est mal adapté aux obligations associées à la sécurité des renseignements personnels. Le flou normatif entourant le contenu de l’obligation de sécurité et les difficultés d’exercice du recours rendent peu efficace le régime de responsabilité civile compensatoire. Dans un souci d’améliorer son efficacité, deux propositions méritent d’être considérées, soit : la revalorisation des dommages-intérêts punitifs et l’encadrement statutaire d’une obligation de notification des atteintes à la sécurité des renseignements personnels. Ces deux propositions sanctionnent les violations à l’obligation de sécurité là où le régime de responsabilité civile compensatoire semble échouer. Par contre, elles ne sont elles-mêmes efficaces que si leur exercice respecte les fonctions qui leur sont sous-jacentes. Au final, la responsabilité de la sécurité des renseignements personnels ne repose pas seulement sur un régime responsabilité, mais sur une culture de responsabilité.
Resumo:
« Dissimuler » un trésor a toujours fasciné. Mais à l’heure actuelle, le trésor n’est plus toujours une caisse pleine de pierres précieuses ou d’or, il peut s’agir d’une simple information ou d’une donnée informatique importante que l’on souhaite cacher pour mieux la protéger. Avec le développement d’Internet, le domaine de la stéganographie, technique consistant à dissimuler une information pour la faire passer inaperçue, prend alors une nouvelle ampleur : il est désormais facile de dissimuler un fichier qui n’est qu’une goutte d’eau dans un océan informationnel. Si cette possibilité ouvre de nouvelles perspectives en termes de sécurité de l’information (car si personne ne sait qu’il y a un message secret, personne ne cherchera à le regarder ou le récupérer…), sa couverture sur le plan juridique n’est encore qu’embryonnaire. Dans la première partie, après avoir présenté les principes de la stéganographie informatique, nous montrerons combien un tel procédé est complémentaire et s’accorde bien avec la cryptographie, et le mettrons en perspective avec d’autres techniques voisines de dissimulation d’information (tatouage et empreinte digitale). Nous illustrerons finalement quelques pratiques de stéganographie appliquée à deux catégories de données numériques, l’image et le texte. Dans la seconde partie, nous plaçant résolument sur le plan juridique, nous tenterons tout d’abord de voir si la stéganographie peut faire partie des mesures techniques de protection que doit mettre en place un responsable de système d’information au titre de l’obligation de sécurité informationnelle. Ensuite, après avoir constaté que certains usages déviants de la stéganographie pouvaient impacter la sécurité publique, nous nous interrogerons sur ses répercussions, compte tenu des exigences d’accessibilité et d’intégrité de l’information.
