Blog

19 août 2024 | Christian Vézina

Le projet de loi C-27 au Canada, plus précisément la Loi sur l'intelligence artificielle et les données (AIDA), introduit un ensemble d'obligations pour réglementer l'utilisation de l'intelligence artificielle (IA). Premièrement, AIDA propose une classification des systèmes d’IA, distinguant particulièrement les systèmes « à haut risque », définis par leur impact potentiel sur les droits, la sécurité ou les intérêts des individus. Ces systèmes à haut risque sont soumis à des exigences plus strictes que les systèmes à faible risque, même si tous les systèmes d’IA doivent être évalués en fonction de leur risque potentiel. La transparence est également un aspect clé de la loi, obligeant les entreprises à informer les utilisateurs lorsqu'un système d'IA est utilisé pour prendre des décisions les concernant. Outre la transparence, l’explicabilité est requise pour les systèmes à haut risque, afin de garantir que les entreprises puissent expliquer clairement les décisions prises par leurs algorithmes.

Avant de déployer un système d’IA à haut risque, les entreprises doivent procéder à une évaluation d’impact de l’IA (AIA) pour identifier les risques liés à la protection des données, à la sécurité et aux droits individuels. Les résultats de ces évaluations doivent être documentés et, dans certains cas, partagés avec les autorités réglementaires. De plus, les entreprises doivent mettre en œuvre des mesures pour garantir la sécurité des données et des algorithmes utilisés par leurs systèmes d’IA tout en maintenant une gouvernance rigoureuse des données afin d’éviter les biais discriminatoires ou les erreurs de résultats. Les systèmes d’IA à haut risque doivent également faire l’objet d’une surveillance continue pour corriger toute anomalie ou écart et être régulièrement audités pour permettre la traçabilité et la vérification des décisions prises par l’algorithme.

En cas de non-respect des obligations de l’AIDA, les entreprises s’exposent à de lourdes sanctions, notamment des amendes importantes, surtout si l’utilisation abusive d’un système d’IA entraîne un préjudice pour des personnes. Les entreprises sont également tenues de prendre des mesures correctives immédiates lorsqu’un système d’IA s’avère non conforme ou cause un préjudice, ce qui peut inclure la suspension de son utilisation ou la correction des erreurs. Le respect de ces obligations sera supervisé par un commissaire à l’IA et aux données, qui aura le pouvoir de mener des enquêtes, de demander des audits et d’imposer des sanctions en cas de non-respect. Le commissaire jouera également un rôle dans la promotion de pratiques éthiques en matière d’IA en fournissant des lignes directrices et en encourageant la transparence et l’innovation.

La prévention des préjugés discriminatoires est un autre pilier fondamental du projet de loi. Les systèmes d’IA doivent être conçus pour éviter toute forme de discrimination fondée sur la race, le sexe, l’âge ou d’autres caractéristiques protégées. Les entreprises doivent démontrer qu’elles ont mis en place des mesures pour identifier et corriger ces biais. À cet égard, la promotion de pratiques éthiques en matière d’IA, telles que la transparence, l’équité et le respect des droits individuels, est fortement encouragée. Enfin, la collaboration avec les parties prenantes, notamment les utilisateurs et la société civile, est encouragée pour garantir que les systèmes d'IA sont développés et évalués en tenant compte des attentes éthiques et sociales.

En conclusion, le projet de loi C-27, par l'intermédiaire de l'ACRA, établit un cadre strict pour l'utilisation de l'IA au Canada, visant à protéger les droits des individus tout en favorisant l'innovation responsable. Pour les entreprises qui cherchent à bénéficier de l’IA, il sera crucial de se conformer à ces nouvelles obligations pour garantir que leurs initiatives en matière d’IA soient non seulement efficaces, mais également éthiques et conformes aux exigences réglementaires. Si vous avez des questions ou avez besoin d’aide pour planifier vos efforts de conformité, n’hésitez pas à nous contacter.

2 septembre 2024 | Christian Vézina

Adopté le 22 septembre 2021, le projet de loi 25, aussi connu sous le nom de Loi modernisant les dispositions législatives concernant la protection des renseignements personnels, marque une étape importante dans l'évolution de la protection des données au Québec. Cette législation vise à renforcer les droits des individus et à imposer de nouvelles obligations aux organisations des secteurs public et privé. Voici les points clés de cette loi et ses implications pour les entreprises.

Nouveaux droits pour les individus : Le projet de loi 25 introduit deux nouveaux droits importants pour les citoyens québécois. Le droit à la portabilité des données permet aux individus de demander que leurs informations personnelles soient transférées d'une organisation à une autre dans un format accessible. Le droit à l’oubli, quant à lui, offre aux individus la possibilité d’exiger la suppression de leurs données personnelles lorsqu’elles ne sont plus nécessaires ou lorsque leur consentement a été retiré.

Obligations accrues pour les entreprises : Les organisations doivent également se conformer à plusieurs nouvelles obligations. Parmi ceux-ci, la nomination d’un Chief Compliance Officer pour la protection des renseignements personnels (CCOPI), qui supervisera la protection des informations au sein de l’organisation, s’impose désormais. Ce rôle est généralement attribué au directeur général, sauf indication contraire. De plus, avant tout projet impliquant des données personnelles, les entreprises doivent procéder à une évaluation des impacts sur la vie privée (PIA) pour garantir la conformité et protéger les individus.

Consentement explicite et transparence : Concernant le consentement et la transparence, la loi impose des normes plus strictes. Le consentement des individus doit être explicite, clair et éclairé, et il ne peut plus être implicite. Les organisations doivent également informer de manière transparente les individus sur l’utilisation de leurs données, les finalités pour lesquelles elles sont collectées et les droits des individus concernés.

Gestion des incidents de confidentialité : Lorsqu'un incident relatif à la vie privée survient, le projet de loi 25 exige une notification obligatoire au Commission d'accès à l’information (CAI) ainsi qu’aux personnes concernées si un risque grave est identifié. De plus, les organisations doivent conserver un enregistrement des incidents documentant tous les événements liés à la confidentialité, qu'une notification soit ou non requise.

Sanctions et pénalités : Les sanctions prévues dans le projet de loi 25 sont sévères pour les organisations non conformes. Ils s'exposent à des amendes administratives pouvant aller jusqu'à 10 millions de dollars, soit 2 % de leur chiffre d'affaires annuel mondial. En cas de non-respect grave, des sanctions pénales peuvent être imposées, avec des amendes pouvant atteindre 25 millions de dollars, soit 4 % du chiffre d'affaires annuel mondial.

Calendrier de mise en œuvre : La loi est mise en œuvre progressivement sur trois ans, avec une première phase le 22 septembre 2022 marquant la nomination d'un Directeur de la Conformité pour la Protection des Informations Personnelles (CCOPI) et la mise en place de premières obligations. Le 22 septembre 2023, l’obligation de procéder à des évaluations des facteurs relatifs à la vie privée (PIA) est entrée en vigueur. Enfin, le 22 septembre 2024, toutes les dispositions de la loi entreront pleinement en vigueur, y compris les nouvelles exigences en matière de transparence et de portabilité des données.

Implications pour les organisations : Pour se conformer au projet de loi 25, les entreprises doivent revoir et ajuster leurs pratiques de gestion des renseignements personnels. Cela inclut la révision des politiques de consentement, la gestion proactive des incidents de confidentialité et la mise en œuvre d’une gouvernance des données plus rigoureuse. Ces nouvelles obligations inciteront probablement les organisations à investir dans des technologies facilitant la gestion du consentement, la protection des données et la conformité réglementaire.

Conclusion: Le projet de loi 25 impose des normes strictes et modernise la gestion des données au Québec. Pour rester conformes, les organisations devront ajuster leurs processus et investir dans des solutions technologiques adaptées, assurant ainsi une meilleure protection des renseignements personnels. Si vous avez besoin d’aide pour établir et mettre en œuvre votre plan de conformité, n’hésitez pas à nous contacter.

23 septembre 2024 | Christian Vézina

Dans le paysage de la cybersécurité en constante évolution, la sécurité informatique (technologie de l’information) et OT (technologie opérationnelle) jouent un rôle essentiel dans la protection des actifs d’une organisation. Cependant, même si elles peuvent sembler similaires à première vue, la sécurité informatique et la sécurité OT fonctionnent selon des principes, des priorités et des défis très différents. Comprendre ces différences est essentiel pour toute personne impliquée dans la protection des infrastructures critiques, d’autant plus que ces deux domaines convergent de plus en plus.

La sécurité informatique se concentre sur la protection de la confidentialité, de l'intégrité et de la disponibilité (triade CIA) des informations numériques dans les environnements informatiques traditionnels tels que les serveurs, les réseaux et les points finaux. Cela inclut la protection des systèmes d'entreprise tels que la messagerie électronique, les bases de données et les serveurs de fichiers contre les menaces externes et internes. Les vecteurs d'attaque courants dans les environnements informatiques incluent les logiciels malveillants, le phishing et les attaques DDoS, et les principaux objectifs sont la protection des données, la confidentialité et la conformité réglementaire.

D'autre part, la sécurité OT concerne la protection des systèmes qui contrôlent les processus physiques, tels que ceux que l'on trouve dans les usines de fabrication, les réseaux énergétiques, les systèmes de transport et les services publics. Les environnements OT comprennent des systèmes de contrôle industriel (ICS), des systèmes SCADA (contrôle de surveillance et acquisition de données), des automates (contrôleurs logiques programmables) et des capteurs qui gèrent les processus physiques. L’objectif principal de la sécurité des OT est de garantir la disponibilité et le fonctionnement sécurisé de ces systèmes. Une perturbation ou une compromission de l’OT pourrait entraîner des dommages physiques, des temps d’arrêt ou même un risque pour des vies humaines.

Principales différences entre la sécurité informatique et OT

Priorities. La principale différence entre la sécurité informatique et OT réside dans leurs priorités. La sécurité informatique met l'accent sur la confidentialité, garantissant que les informations sensibles telles que les données clients ou la propriété intellectuelle sont protégées. En revanche, la sécurité OT se concentre sur la disponibilité et la sécurité, car même une brève interruption du service pourrait avoir des conséquences catastrophiques, allant des arrêts de production aux risques pour la sécurité. Dans les environnements OT, le maintien de la continuité opérationnelle est primordial, faisant de la disponibilité la priorité absolue.

Tolérance au risque. La tolérance au risque entre IT et OT diffère également considérablement. Dans les environnements informatiques, les correctifs et mises à jour réguliers du système font partie des pratiques standard de cybersécurité pour corriger les vulnérabilités et améliorer la sécurité. Même si cela peut entraîner des temps d'arrêt occasionnels, cela est généralement acceptable dans les environnements informatiques. Cependant, dans les environnements OT, les mises à jour et les correctifs doivent être traités avec une extrême prudence, car même un bref temps d'arrêt peut avoir de graves conséquences sur les infrastructures critiques, les calendriers de production ou les mesures de sécurité. Cela signifie que les systèmes OT sont souvent conçus pour fonctionner en continu, avec des possibilités minimales de mises à jour ou de maintenance, ce qui augmente la complexité de la gestion de la sécurité dans ces environnements.

Cycle de vie du système. Une autre distinction clé réside dans le cycle de vie des systèmes eux-mêmes. Les systèmes informatiques ont généralement des cycles de vie plus courts, allant généralement de trois à cinq ans, et sont régulièrement mis à niveau ou remplacés pour répondre aux nouvelles exigences en matière de performances et de sécurité. En revanche, les systèmes OT fonctionnent souvent pendant des décennies et s’appuient sur des technologies existantes qui n’ont pas été initialement conçues dans un souci de cybersécurité. Le remplacement ou la mise à niveau des systèmes OT peut être coûteux, long et perturbateur sur le plan opérationnel, créant des défis supplémentaires pour la gestion de la sécurité.

Surface d'attaque. La surface d’attaque dans les environnements OT est également plus large et plus vulnérable. Les environnements informatiques fonctionnent généralement avec des mesures de sécurité plus contrôlées, telles que des pare-feu, des contrôles d'accès et des systèmes de surveillance capables de détecter et de prévenir les intrusions. Toutefois, dans les environnements OT, les équipements existants, les protocoles propriétaires et les méthodes de communication moins sécurisées sont courants. De nombreux systèmes OT n'ont pas été conçus à l'origine pour la connectivité Internet, mais sont désormais de plus en plus intégrés aux technologies IoT, les exposant aux cybermenaces. Cette interconnectivité croissante augmente les enjeux pour la sécurité des OT.

Outils de sécurité. En termes d'outils de sécurité, la sécurité informatique utilise des mesures standards telles que des pare-feu, des logiciels antivirus, des systèmes de détection/prévention des intrusions (IDS/IPS) et des solutions SIEM (Security Information and Event Management). La sécurité OT nécessite des outils plus spécialisés axés sur la sécurisation des protocoles industriels, tels que Modbus ou DNP3, et sur la surveillance des processus physiques. Contrairement aux systèmes informatiques, qui peuvent se permettre un certain niveau de perturbations pour la maintenance, les systèmes OT nécessitent des solutions de sécurité qui peuvent être mises en œuvre de manière non intrusive, sans interrompre les opérations.

Sécurité humaine et impact. L’une des différences les plus critiques entre la sécurité informatique et OT réside dans l’impact potentiel d’une faille de sécurité. Dans le domaine informatique, les violations de données peuvent entraîner des pertes financières, des atteintes à la réputation ou des problèmes juridiques, mais elles ne présentent généralement pas de risques physiques immédiats. En OT, une cyberattaque peut avoir des conséquences bien plus graves, notamment des dommages physiques aux équipements, des risques environnementaux ou des menaces pour la vie humaine. Par exemple, une attaque contre une centrale électrique ou une installation de traitement des eaux pourrait mettre la vie en danger.

La convergence de l'informatique et de l'OT

À mesure que les industries adoptent la transformation numérique, les systèmes IT et OT deviennent de plus en plus interconnectés, brouillant les frontières entre les deux domaines. Cette convergence crée des gains d’efficacité mais augmente également le risque de cybermenaces qui peuvent relier les deux environnements. Des cyberattaques comme Stuxnet ont démontré comment les vulnérabilités des réseaux informatiques peuvent être exploitées pour cibler les systèmes OT. La convergence de l’IT et de l’OT rend essentiel pour les organisations le développement d’une stratégie de sécurité unifiée qui répond aux besoins uniques des deux domaines.

Bien que la sécurité informatique et OT partage l’objectif de protéger les actifs, elles diffèrent considérablement dans leur approche, leurs priorités et les risques encourus. À mesure que les systèmes industriels sont de plus en plus connectés aux plates-formes numériques, les professionnels de la cybersécurité doivent comprendre ces différences et travailler à l'élaboration de stratégies de sécurité sur mesure qui répondent aux défis uniques des environnements informatiques et opérationnels. Maintenir un équilibre entre sécurité et efficacité opérationnelle est essentiel pour garantir à la fois la sécurité des processus physiques et la protection des actifs numériques. Si vous avez besoin d’aide pour déterminer votre position et établir une feuille de route vers un environnement résilient, n’hésitez pas à nous contacter.