{"id":251,"date":"2024-10-16T15:43:08","date_gmt":"2024-10-16T19:43:08","guid":{"rendered":"https:\/\/vezinacybersolutions.com\/?page_id=251"},"modified":"2024-10-22T13:10:25","modified_gmt":"2024-10-22T17:10:25","slug":"resources","status":"publish","type":"page","link":"https:\/\/vezinacybersolutions.com\/fr\/resources\/","title":{"rendered":"Ressources"},"content":{"rendered":"<div data-elementor-type=\"wp-page\" data-elementor-id=\"251\" class=\"elementor elementor-251\">\n\t\t\t\t<div class=\"elementor-element elementor-element-1c21d04 e-flex e-con-boxed wpr-particle-no wpr-jarallax-no wpr-parallax-no wpr-sticky-section-no wpr-equal-height-no e-con e-parent\" data-id=\"1c21d04\" data-element_type=\"container\" data-e-type=\"container\">\n\t\t\t\t\t<div class=\"e-con-inner\">\n\t\t<div class=\"elementor-element elementor-element-cd9bbe7 e-con-full e-flex wpr-particle-no wpr-jarallax-no wpr-parallax-no wpr-sticky-section-no wpr-equal-height-no e-con e-child\" data-id=\"cd9bbe7\" data-element_type=\"container\" data-e-type=\"container\">\n\t\t\t\t<div class=\"elementor-element elementor-element-3812a05 elementor-widget elementor-widget-image\" data-id=\"3812a05\" data-element_type=\"widget\" data-e-type=\"widget\" data-widget_type=\"image.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t<img fetchpriority=\"high\" decoding=\"async\" width=\"673\" height=\"1024\" src=\"https:\/\/vezinacybersolutions.com\/wp-content\/uploads\/2024\/10\/Resources-notepad-fountain-pen-aaron-burden-xG8IQMqMITM-unsplash-673x1024.jpg\" class=\"attachment-large size-large wp-image-454\" alt=\"\" srcset=\"https:\/\/vezinacybersolutions.com\/wp-content\/uploads\/2024\/10\/Resources-notepad-fountain-pen-aaron-burden-xG8IQMqMITM-unsplash-673x1024.jpg 673w, https:\/\/vezinacybersolutions.com\/wp-content\/uploads\/2024\/10\/Resources-notepad-fountain-pen-aaron-burden-xG8IQMqMITM-unsplash-197x300.jpg 197w, https:\/\/vezinacybersolutions.com\/wp-content\/uploads\/2024\/10\/Resources-notepad-fountain-pen-aaron-burden-xG8IQMqMITM-unsplash-768x1168.jpg 768w, https:\/\/vezinacybersolutions.com\/wp-content\/uploads\/2024\/10\/Resources-notepad-fountain-pen-aaron-burden-xG8IQMqMITM-unsplash-8x12.jpg 8w, https:\/\/vezinacybersolutions.com\/wp-content\/uploads\/2024\/10\/Resources-notepad-fountain-pen-aaron-burden-xG8IQMqMITM-unsplash.jpg 948w\" sizes=\"(max-width: 673px) 100vw, 673px\" \/>\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t<div class=\"elementor-element elementor-element-255af92 e-con-full e-flex wpr-particle-no wpr-jarallax-no wpr-parallax-no wpr-sticky-section-no wpr-equal-height-no e-con e-child\" data-id=\"255af92\" data-element_type=\"container\" data-e-type=\"container\">\n\t\t\t\t<div class=\"elementor-element elementor-element-ba2b28c elementor-widget elementor-widget-heading\" data-id=\"ba2b28c\" data-element_type=\"widget\" data-e-type=\"widget\" data-widget_type=\"heading.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t<h1 class=\"elementor-heading-title elementor-size-default\">Blog<\/h1>\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<div class=\"elementor-element elementor-element-16b5dd5 wpr-advanced-accordion-icon-side-box elementor-widget elementor-widget-wpr-advanced-accordion\" data-id=\"16b5dd5\" data-element_type=\"widget\" data-e-type=\"widget\" data-settings=\"{&quot;active_item&quot;:1}\" data-widget_type=\"wpr-advanced-accordion.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t\n            <div class=\"wpr-advanced-accordion\" data-accordion-type=\"accordion\" data-active-index=\"1\" data-accordion-trigger=\"click\" data-interaction-speed=\"0.4\">\n\n\t\t\t\n                \n\t\t\t\t\t<div class=\"wpr-accordion-item-wrap\">\n\t\t\t\t\t\t<button class=\"wpr-acc-button\">\n\t\t\t\t\t\t\t<span class=\"wpr-acc-item-title\">\n\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t<div class=\"wpr-acc-icon-box\">\n\t\t\t\t\t\t\t\t\t\t\t\t\t\t<span class=\"wpr-title-icon\">\n\t\t\t\t\t\t\t\t\t<\/span>\n\t\t\t\t\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t\t\t\t\t\n\t\t\t\t\t\t\t\t<span class=\"wpr-acc-title-text\">L\u2019IA et le projet de loi C-27 du Canada<\/span>\n\t\t\t\t\t\t\t<\/span>\n\t\t\t\t\t\t\t\t\t\t\t<span class=\"wpr-toggle-icon wpr-ti-close\"><svg aria-hidden=\"true\" class=\"e-font-icon-svg e-fas-caret-down\" viewbox=\"0 0 320 512\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\"><path d=\"M31.3 192h257.3c17.8 0 26.7 21.5 14.1 34.1L174.1 354.8c-7.8 7.8-20.5 7.8-28.3 0L17.2 226.1C4.6 213.5 13.5 192 31.3 192z\"><\/path><\/svg><\/span>\n\t\t\t\t<span class=\"wpr-toggle-icon wpr-ti-open\"><svg aria-hidden=\"true\" class=\"e-font-icon-svg e-fas-caret-up\" viewbox=\"0 0 320 512\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\"><path d=\"M288.662 352H31.338c-17.818 0-26.741-21.543-14.142-34.142l128.662-128.662c7.81-7.81 20.474-7.81 28.284 0l128.662 128.662c12.6 12.599 3.676 34.142-14.142 34.142z\"><\/path><\/svg><\/span>\n\t\t\t\t\t\t\t\t\t<\/button>\n\n\t\t\t\t\t\t<div class=\"wpr-acc-panel\">\n\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t<div class=\"wpr-acc-panel-content\"><p>19 ao\u00fbt 2024 | Christian V\u00e9zina<\/p><p>\u00a0<\/p><p>Le projet de loi C-27 au Canada, plus pr\u00e9cis\u00e9ment la Loi sur l'intelligence artificielle et les donn\u00e9es (AIDA), introduit un ensemble d'obligations pour r\u00e9glementer l'utilisation de l'intelligence artificielle (IA). Premi\u00e8rement, AIDA propose une classification des syst\u00e8mes d\u2019IA, distinguant particuli\u00e8rement les syst\u00e8mes \u00ab \u00e0 haut risque \u00bb, d\u00e9finis par leur impact potentiel sur les droits, la s\u00e9curit\u00e9 ou les int\u00e9r\u00eats des individus. Ces syst\u00e8mes \u00e0 haut risque sont soumis \u00e0 des exigences plus strictes que les syst\u00e8mes \u00e0 faible risque, m\u00eame si tous les syst\u00e8mes d\u2019IA doivent \u00eatre \u00e9valu\u00e9s en fonction de leur risque potentiel. La transparence est \u00e9galement un aspect cl\u00e9 de la loi, obligeant les entreprises \u00e0 informer les utilisateurs lorsqu'un syst\u00e8me d'IA est utilis\u00e9 pour prendre des d\u00e9cisions les concernant. Outre la transparence, l\u2019explicabilit\u00e9 est requise pour les syst\u00e8mes \u00e0 haut risque, afin de garantir que les entreprises puissent expliquer clairement les d\u00e9cisions prises par leurs algorithmes.<\/p><p>\u00a0<\/p><p>Avant de d\u00e9ployer un syst\u00e8me d\u2019IA \u00e0 haut risque, les entreprises doivent proc\u00e9der \u00e0 une \u00e9valuation d\u2019impact de l\u2019IA (AIA) pour identifier les risques li\u00e9s \u00e0 la protection des donn\u00e9es, \u00e0 la s\u00e9curit\u00e9 et aux droits individuels. Les r\u00e9sultats de ces \u00e9valuations doivent \u00eatre document\u00e9s et, dans certains cas, partag\u00e9s avec les autorit\u00e9s r\u00e9glementaires. De plus, les entreprises doivent mettre en \u0153uvre des mesures pour garantir la s\u00e9curit\u00e9 des donn\u00e9es et des algorithmes utilis\u00e9s par leurs syst\u00e8mes d\u2019IA tout en maintenant une gouvernance rigoureuse des donn\u00e9es afin d\u2019\u00e9viter les biais discriminatoires ou les erreurs de r\u00e9sultats. Les syst\u00e8mes d\u2019IA \u00e0 haut risque doivent \u00e9galement faire l\u2019objet d\u2019une surveillance continue pour corriger toute anomalie ou \u00e9cart et \u00eatre r\u00e9guli\u00e8rement audit\u00e9s pour permettre la tra\u00e7abilit\u00e9 et la v\u00e9rification des d\u00e9cisions prises par l\u2019algorithme.<\/p><p>\u00a0<\/p><p>En cas de non-respect des obligations de l\u2019AIDA, les entreprises s\u2019exposent \u00e0 de lourdes sanctions, notamment des amendes importantes, surtout si l\u2019utilisation abusive d\u2019un syst\u00e8me d\u2019IA entra\u00eene un pr\u00e9judice pour des personnes. Les entreprises sont \u00e9galement tenues de prendre des mesures correctives imm\u00e9diates lorsqu\u2019un syst\u00e8me d\u2019IA s\u2019av\u00e8re non conforme ou cause un pr\u00e9judice, ce qui peut inclure la suspension de son utilisation ou la correction des erreurs. Le respect de ces obligations sera supervis\u00e9 par un commissaire \u00e0 l\u2019IA et aux donn\u00e9es, qui aura le pouvoir de mener des enqu\u00eates, de demander des audits et d\u2019imposer des sanctions en cas de non-respect. Le commissaire jouera \u00e9galement un r\u00f4le dans la promotion de pratiques \u00e9thiques en mati\u00e8re d\u2019IA en fournissant des lignes directrices et en encourageant la transparence et l\u2019innovation.<\/p><p>\u00a0<\/p><p>La pr\u00e9vention des pr\u00e9jug\u00e9s discriminatoires est un autre pilier fondamental du projet de loi. Les syst\u00e8mes d\u2019IA doivent \u00eatre con\u00e7us pour \u00e9viter toute forme de discrimination fond\u00e9e sur la race, le sexe, l\u2019\u00e2ge ou d\u2019autres caract\u00e9ristiques prot\u00e9g\u00e9es. Les entreprises doivent d\u00e9montrer qu\u2019elles ont mis en place des mesures pour identifier et corriger ces biais. \u00c0 cet \u00e9gard, la promotion de pratiques \u00e9thiques en mati\u00e8re d\u2019IA, telles que la transparence, l\u2019\u00e9quit\u00e9 et le respect des droits individuels, est fortement encourag\u00e9e. Enfin, la collaboration avec les parties prenantes, notamment les utilisateurs et la soci\u00e9t\u00e9 civile, est encourag\u00e9e pour garantir que les syst\u00e8mes d'IA sont d\u00e9velopp\u00e9s et \u00e9valu\u00e9s en tenant compte des attentes \u00e9thiques et sociales.<\/p><p>\u00a0<\/p><p>En conclusion, le projet de loi C-27, par l'interm\u00e9diaire de l'ACRA, \u00e9tablit un cadre strict pour l'utilisation de l'IA au Canada, visant \u00e0 prot\u00e9ger les droits des individus tout en favorisant l'innovation responsable. Pour les entreprises qui cherchent \u00e0 b\u00e9n\u00e9ficier de l\u2019IA, il sera crucial de se conformer \u00e0 ces nouvelles obligations pour garantir que leurs initiatives en mati\u00e8re d\u2019IA soient non seulement efficaces, mais \u00e9galement \u00e9thiques et conformes aux exigences r\u00e9glementaires. Si vous avez des questions ou avez besoin d\u2019aide pour planifier vos efforts de conformit\u00e9, n\u2019h\u00e9sitez pas \u00e0 nous contacter.<\/p><\/div>\n\t\t\t\t\t\t\t\t\t\t\t\t\t<\/div>\n                    <\/div>\n\n                \n\t\t\t\t\t<div class=\"wpr-accordion-item-wrap\">\n\t\t\t\t\t\t<button class=\"wpr-acc-button\">\n\t\t\t\t\t\t\t<span class=\"wpr-acc-item-title\">\n\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t<div class=\"wpr-acc-icon-box\">\n\t\t\t\t\t\t\t\t\t\t\t\t\t\t<span class=\"wpr-title-icon\">\n\t\t\t\t\t\t\t\t\t<\/span>\n\t\t\t\t\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t\t\t\t\t\n\t\t\t\t\t\t\t\t<span class=\"wpr-acc-title-text\">Projet de loi 25 : un tournant pour la protection des donn\u00e9es personnelles au Qu\u00e9bec<\/span>\n\t\t\t\t\t\t\t<\/span>\n\t\t\t\t\t\t\t\t\t\t\t<span class=\"wpr-toggle-icon wpr-ti-close\"><svg aria-hidden=\"true\" class=\"e-font-icon-svg e-fas-caret-down\" viewbox=\"0 0 320 512\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\"><path d=\"M31.3 192h257.3c17.8 0 26.7 21.5 14.1 34.1L174.1 354.8c-7.8 7.8-20.5 7.8-28.3 0L17.2 226.1C4.6 213.5 13.5 192 31.3 192z\"><\/path><\/svg><\/span>\n\t\t\t\t<span class=\"wpr-toggle-icon wpr-ti-open\"><svg aria-hidden=\"true\" class=\"e-font-icon-svg e-fas-caret-up\" viewbox=\"0 0 320 512\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\"><path d=\"M288.662 352H31.338c-17.818 0-26.741-21.543-14.142-34.142l128.662-128.662c7.81-7.81 20.474-7.81 28.284 0l128.662 128.662c12.6 12.599 3.676 34.142-14.142 34.142z\"><\/path><\/svg><\/span>\n\t\t\t\t\t\t\t\t\t<\/button>\n\n\t\t\t\t\t\t<div class=\"wpr-acc-panel\">\n\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t<div class=\"wpr-acc-panel-content\"><p>2 septembre 2024 | Christian V\u00e9zina<\/p><p>Adopt\u00e9 le 22 septembre 2021, le projet de loi 25, aussi connu sous le nom de Loi modernisant les dispositions l\u00e9gislatives concernant la protection des renseignements personnels, marque une \u00e9tape importante dans l'\u00e9volution de la protection des donn\u00e9es au Qu\u00e9bec. Cette l\u00e9gislation vise \u00e0 renforcer les droits des individus et \u00e0 imposer de nouvelles obligations aux organisations des secteurs public et priv\u00e9. Voici les points cl\u00e9s de cette loi et ses implications pour les entreprises.<\/p><p>\u00a0<\/p><p><b>Nouveaux droits pour les individus\u00a0:<\/b> Le projet de loi 25 introduit deux nouveaux droits importants pour les citoyens qu\u00e9b\u00e9cois. Le droit \u00e0 la portabilit\u00e9 des donn\u00e9es permet aux individus de demander que leurs informations personnelles soient transf\u00e9r\u00e9es d'une organisation \u00e0 une autre dans un format accessible. Le droit \u00e0 l\u2019oubli, quant \u00e0 lui, offre aux individus la possibilit\u00e9 d\u2019exiger la suppression de leurs donn\u00e9es personnelles lorsqu\u2019elles ne sont plus n\u00e9cessaires ou lorsque leur consentement a \u00e9t\u00e9 retir\u00e9.<\/p><p>\u00a0<\/p><p><b>Obligations accrues pour les entreprises : <\/b>Les organisations doivent \u00e9galement se conformer \u00e0 plusieurs nouvelles obligations. Parmi ceux-ci, la nomination d\u2019un Chief Compliance Officer pour la protection des renseignements personnels (CCOPI), qui supervisera la protection des informations au sein de l\u2019organisation, s\u2019impose d\u00e9sormais. Ce r\u00f4le est g\u00e9n\u00e9ralement attribu\u00e9 au directeur g\u00e9n\u00e9ral, sauf indication contraire. De plus, avant tout projet impliquant des donn\u00e9es personnelles, les entreprises doivent proc\u00e9der \u00e0 une \u00e9valuation des impacts sur la vie priv\u00e9e (PIA) pour garantir la conformit\u00e9 et prot\u00e9ger les individus.<\/p><p>\u00a0<\/p><p><b>Consentement explicite et transparence\u00a0: <\/b>Concernant le consentement et la transparence, la loi impose des normes plus strictes. Le consentement des individus doit \u00eatre explicite, clair et \u00e9clair\u00e9, et il ne peut plus \u00eatre implicite. Les organisations doivent \u00e9galement informer de mani\u00e8re transparente les individus sur l\u2019utilisation de leurs donn\u00e9es, les finalit\u00e9s pour lesquelles elles sont collect\u00e9es et les droits des individus concern\u00e9s.<\/p><p>\u00a0<\/p><p><b>Gestion des incidents de confidentialit\u00e9\u00a0: <\/b>Lorsqu'un incident relatif \u00e0 la vie priv\u00e9e survient, le projet de loi 25 exige une notification obligatoire au <i>Commission <\/i><i>d'acc\u00e8s<\/i><i> \u00e0 <\/i><i>l\u2019information<\/i> (CAI) ainsi qu\u2019aux personnes concern\u00e9es si un risque grave est identifi\u00e9. De plus, les organisations doivent conserver un enregistrement des incidents documentant tous les \u00e9v\u00e9nements li\u00e9s \u00e0 la confidentialit\u00e9, qu'une notification soit ou non requise.<\/p><p>\u00a0<\/p><p><b>Sanctions et p\u00e9nalit\u00e9s\u00a0: <\/b>Les sanctions pr\u00e9vues dans le projet de loi 25 sont s\u00e9v\u00e8res pour les organisations non conformes. Ils s'exposent \u00e0 des amendes administratives pouvant aller jusqu'\u00e0 10 millions de dollars, soit 2 % de leur chiffre d'affaires annuel mondial. En cas de non-respect grave, des sanctions p\u00e9nales peuvent \u00eatre impos\u00e9es, avec des amendes pouvant atteindre 25 millions de dollars, soit 4 % du chiffre d'affaires annuel mondial.<\/p><p>\u00a0<\/p><p><b>Calendrier de mise en \u0153uvre\u00a0:<\/b> La loi est mise en \u0153uvre progressivement sur trois ans, avec une premi\u00e8re phase le 22 septembre 2022 marquant la nomination d'un Directeur de la Conformit\u00e9 pour la Protection des Informations Personnelles (CCOPI) et la mise en place de premi\u00e8res obligations. Le 22 septembre 2023, l\u2019obligation de proc\u00e9der \u00e0 des \u00e9valuations des facteurs relatifs \u00e0 la vie priv\u00e9e (PIA) est entr\u00e9e en vigueur. Enfin, le 22 septembre 2024, toutes les dispositions de la loi entreront pleinement en vigueur, y compris les nouvelles exigences en mati\u00e8re de transparence et de portabilit\u00e9 des donn\u00e9es.<\/p><p>\u00a0<\/p><p><b>Implications pour les organisations\u00a0:<\/b> Pour se conformer au projet de loi 25, les entreprises doivent revoir et ajuster leurs pratiques de gestion des renseignements personnels. Cela inclut la r\u00e9vision des politiques de consentement, la gestion proactive des incidents de confidentialit\u00e9 et la mise en \u0153uvre d\u2019une gouvernance des donn\u00e9es plus rigoureuse. Ces nouvelles obligations inciteront probablement les organisations \u00e0 investir dans des technologies facilitant la gestion du consentement, la protection des donn\u00e9es et la conformit\u00e9 r\u00e9glementaire.<\/p><p>\u00a0<\/p><p><b>Conclusion:<\/b> Le projet de loi 25 impose des normes strictes et modernise la gestion des donn\u00e9es au Qu\u00e9bec. Pour rester conformes, les organisations devront ajuster leurs processus et investir dans des solutions technologiques adapt\u00e9es, assurant ainsi une meilleure protection des renseignements personnels. Si vous avez besoin d\u2019aide pour \u00e9tablir et mettre en \u0153uvre votre plan de conformit\u00e9, n\u2019h\u00e9sitez pas \u00e0 nous contacter.<\/p><\/div>\n\t\t\t\t\t\t\t\t\t\t\t\t\t<\/div>\n                    <\/div>\n\n                \n\t\t\t\t\t<div class=\"wpr-accordion-item-wrap\">\n\t\t\t\t\t\t<button class=\"wpr-acc-button\">\n\t\t\t\t\t\t\t<span class=\"wpr-acc-item-title\">\n\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t<div class=\"wpr-acc-icon-box\">\n\t\t\t\t\t\t\t\t\t\t\t\t\t\t<span class=\"wpr-title-icon\">\n\t\t\t\t\t\t\t\t\t<\/span>\n\t\t\t\t\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t\t\t\t\t\n\t\t\t\t\t\t\t\t<span class=\"wpr-acc-title-text\">S\u00e9curit\u00e9 informatique et s\u00e9curit\u00e9 OT\u00a0: comprendre les diff\u00e9rences fondamentales<\/span>\n\t\t\t\t\t\t\t<\/span>\n\t\t\t\t\t\t\t\t\t\t\t<span class=\"wpr-toggle-icon wpr-ti-close\"><svg aria-hidden=\"true\" class=\"e-font-icon-svg e-fas-caret-down\" viewbox=\"0 0 320 512\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\"><path d=\"M31.3 192h257.3c17.8 0 26.7 21.5 14.1 34.1L174.1 354.8c-7.8 7.8-20.5 7.8-28.3 0L17.2 226.1C4.6 213.5 13.5 192 31.3 192z\"><\/path><\/svg><\/span>\n\t\t\t\t<span class=\"wpr-toggle-icon wpr-ti-open\"><svg aria-hidden=\"true\" class=\"e-font-icon-svg e-fas-caret-up\" viewbox=\"0 0 320 512\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\"><path d=\"M288.662 352H31.338c-17.818 0-26.741-21.543-14.142-34.142l128.662-128.662c7.81-7.81 20.474-7.81 28.284 0l128.662 128.662c12.6 12.599 3.676 34.142-14.142 34.142z\"><\/path><\/svg><\/span>\n\t\t\t\t\t\t\t\t\t<\/button>\n\n\t\t\t\t\t\t<div class=\"wpr-acc-panel\">\n\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t<div class=\"wpr-acc-panel-content\"><p>23 septembre 2024 | Christian V\u00e9zina<\/p><p>\u00a0<\/p><p>Dans le paysage de la cybers\u00e9curit\u00e9 en constante \u00e9volution, la s\u00e9curit\u00e9 informatique (technologie de l\u2019information) et OT (technologie op\u00e9rationnelle) jouent un r\u00f4le essentiel dans la protection des actifs d\u2019une organisation. Cependant, m\u00eame si elles peuvent sembler similaires \u00e0 premi\u00e8re vue, la s\u00e9curit\u00e9 informatique et la s\u00e9curit\u00e9 OT fonctionnent selon des principes, des priorit\u00e9s et des d\u00e9fis tr\u00e8s diff\u00e9rents. Comprendre ces diff\u00e9rences est essentiel pour toute personne impliqu\u00e9e dans la protection des infrastructures critiques, d\u2019autant plus que ces deux domaines convergent de plus en plus.<\/p><p>\u00a0<\/p><p>La s\u00e9curit\u00e9 informatique se concentre sur la protection de la confidentialit\u00e9, de l'int\u00e9grit\u00e9 et de la disponibilit\u00e9 (triade CIA) des informations num\u00e9riques dans les environnements informatiques traditionnels tels que les serveurs, les r\u00e9seaux et les points finaux. Cela inclut la protection des syst\u00e8mes d'entreprise tels que la messagerie \u00e9lectronique, les bases de donn\u00e9es et les serveurs de fichiers contre les menaces externes et internes. Les vecteurs d'attaque courants dans les environnements informatiques incluent les logiciels malveillants, le phishing et les attaques DDoS, et les principaux objectifs sont la protection des donn\u00e9es, la confidentialit\u00e9 et la conformit\u00e9 r\u00e9glementaire.<\/p><p>\u00a0<\/p><p>D'autre part, la s\u00e9curit\u00e9 OT concerne la protection des syst\u00e8mes qui contr\u00f4lent les processus physiques, tels que ceux que l'on trouve dans les usines de fabrication, les r\u00e9seaux \u00e9nerg\u00e9tiques, les syst\u00e8mes de transport et les services publics. Les environnements OT comprennent des syst\u00e8mes de contr\u00f4le industriel (ICS), des syst\u00e8mes SCADA (contr\u00f4le de surveillance et acquisition de donn\u00e9es), des automates (contr\u00f4leurs logiques programmables) et des capteurs qui g\u00e8rent les processus physiques. L\u2019objectif principal de la s\u00e9curit\u00e9 des OT est de garantir la disponibilit\u00e9 et le fonctionnement s\u00e9curis\u00e9 de ces syst\u00e8mes. Une perturbation ou une compromission de l\u2019OT pourrait entra\u00eener des dommages physiques, des temps d\u2019arr\u00eat ou m\u00eame un risque pour des vies humaines.<\/p><p>\u00a0<\/p><p><b>Principales diff\u00e9rences entre la s\u00e9curit\u00e9 informatique et OT<\/b><\/p><p>\u00a0<\/p><p><b>Priorities<\/b>. La principale diff\u00e9rence entre la s\u00e9curit\u00e9 informatique et OT r\u00e9side dans leurs priorit\u00e9s. La s\u00e9curit\u00e9 informatique met l'accent sur la confidentialit\u00e9, garantissant que les informations sensibles telles que les donn\u00e9es clients ou la propri\u00e9t\u00e9 intellectuelle sont prot\u00e9g\u00e9es. En revanche, la s\u00e9curit\u00e9 OT se concentre sur la disponibilit\u00e9 et la s\u00e9curit\u00e9, car m\u00eame une br\u00e8ve interruption du service pourrait avoir des cons\u00e9quences catastrophiques, allant des arr\u00eats de production aux risques pour la s\u00e9curit\u00e9. Dans les environnements OT, le maintien de la continuit\u00e9 op\u00e9rationnelle est primordial, faisant de la disponibilit\u00e9 la priorit\u00e9 absolue.<\/p><p>\u00a0<\/p><p><b>Tol\u00e9rance au risque<\/b>. La tol\u00e9rance au risque entre IT et OT diff\u00e8re \u00e9galement consid\u00e9rablement. Dans les environnements informatiques, les correctifs et mises \u00e0 jour r\u00e9guliers du syst\u00e8me font partie des pratiques standard de cybers\u00e9curit\u00e9 pour corriger les vuln\u00e9rabilit\u00e9s et am\u00e9liorer la s\u00e9curit\u00e9. M\u00eame si cela peut entra\u00eener des temps d'arr\u00eat occasionnels, cela est g\u00e9n\u00e9ralement acceptable dans les environnements informatiques. Cependant, dans les environnements OT, les mises \u00e0 jour et les correctifs doivent \u00eatre trait\u00e9s avec une extr\u00eame prudence, car m\u00eame un bref temps d'arr\u00eat peut avoir de graves cons\u00e9quences sur les infrastructures critiques, les calendriers de production ou les mesures de s\u00e9curit\u00e9. Cela signifie que les syst\u00e8mes OT sont souvent con\u00e7us pour fonctionner en continu, avec des possibilit\u00e9s minimales de mises \u00e0 jour ou de maintenance, ce qui augmente la complexit\u00e9 de la gestion de la s\u00e9curit\u00e9 dans ces environnements.<\/p><p>\u00a0<\/p><p><b>Cycle de vie du syst\u00e8me<\/b>. Une autre distinction cl\u00e9 r\u00e9side dans le cycle de vie des syst\u00e8mes eux-m\u00eames. Les syst\u00e8mes informatiques ont g\u00e9n\u00e9ralement des cycles de vie plus courts, allant g\u00e9n\u00e9ralement de trois \u00e0 cinq ans, et sont r\u00e9guli\u00e8rement mis \u00e0 niveau ou remplac\u00e9s pour r\u00e9pondre aux nouvelles exigences en mati\u00e8re de performances et de s\u00e9curit\u00e9. En revanche, les syst\u00e8mes OT fonctionnent souvent pendant des d\u00e9cennies et s\u2019appuient sur des technologies existantes qui n\u2019ont pas \u00e9t\u00e9 initialement con\u00e7ues dans un souci de cybers\u00e9curit\u00e9. Le remplacement ou la mise \u00e0 niveau des syst\u00e8mes OT peut \u00eatre co\u00fbteux, long et perturbateur sur le plan op\u00e9rationnel, cr\u00e9ant des d\u00e9fis suppl\u00e9mentaires pour la gestion de la s\u00e9curit\u00e9.<\/p><p>\u00a0<\/p><p><b>Surface d'attaque<\/b>. La surface d\u2019attaque dans les environnements OT est \u00e9galement plus large et plus vuln\u00e9rable. Les environnements informatiques fonctionnent g\u00e9n\u00e9ralement avec des mesures de s\u00e9curit\u00e9 plus contr\u00f4l\u00e9es, telles que des pare-feu, des contr\u00f4les d'acc\u00e8s et des syst\u00e8mes de surveillance capables de d\u00e9tecter et de pr\u00e9venir les intrusions. Toutefois, dans les environnements OT, les \u00e9quipements existants, les protocoles propri\u00e9taires et les m\u00e9thodes de communication moins s\u00e9curis\u00e9es sont courants. De nombreux syst\u00e8mes OT n'ont pas \u00e9t\u00e9 con\u00e7us \u00e0 l'origine pour la connectivit\u00e9 Internet, mais sont d\u00e9sormais de plus en plus int\u00e9gr\u00e9s aux technologies IoT, les exposant aux cybermenaces. Cette interconnectivit\u00e9 croissante augmente les enjeux pour la s\u00e9curit\u00e9 des OT.<\/p><p>\u00a0<\/p><p><b>Outils de s\u00e9curit\u00e9<\/b>. En termes d'outils de s\u00e9curit\u00e9, la s\u00e9curit\u00e9 informatique utilise des mesures standards telles que des pare-feu, des logiciels antivirus, des syst\u00e8mes de d\u00e9tection\/pr\u00e9vention des intrusions (IDS\/IPS) et des solutions SIEM (Security Information and Event Management). La s\u00e9curit\u00e9 OT n\u00e9cessite des outils plus sp\u00e9cialis\u00e9s ax\u00e9s sur la s\u00e9curisation des protocoles industriels, tels que Modbus ou DNP3, et sur la surveillance des processus physiques. Contrairement aux syst\u00e8mes informatiques, qui peuvent se permettre un certain niveau de perturbations pour la maintenance, les syst\u00e8mes OT n\u00e9cessitent des solutions de s\u00e9curit\u00e9 qui peuvent \u00eatre mises en \u0153uvre de mani\u00e8re non intrusive, sans interrompre les op\u00e9rations.<\/p><p>\u00a0<\/p><p><b>S\u00e9curit\u00e9 humaine et impact<\/b>. L\u2019une des diff\u00e9rences les plus critiques entre la s\u00e9curit\u00e9 informatique et OT r\u00e9side dans l\u2019impact potentiel d\u2019une faille de s\u00e9curit\u00e9. Dans le domaine informatique, les violations de donn\u00e9es peuvent entra\u00eener des pertes financi\u00e8res, des atteintes \u00e0 la r\u00e9putation ou des probl\u00e8mes juridiques, mais elles ne pr\u00e9sentent g\u00e9n\u00e9ralement pas de risques physiques imm\u00e9diats. En OT, une cyberattaque peut avoir des cons\u00e9quences bien plus graves, notamment des dommages physiques aux \u00e9quipements, des risques environnementaux ou des menaces pour la vie humaine. Par exemple, une attaque contre une centrale \u00e9lectrique ou une installation de traitement des eaux pourrait mettre la vie en danger.<\/p><p>\u00a0<\/p><p><b>La convergence de l'informatique et de l'OT<\/b><\/p><p>\u00c0 mesure que les industries adoptent la transformation num\u00e9rique, les syst\u00e8mes IT et OT deviennent de plus en plus interconnect\u00e9s, brouillant les fronti\u00e8res entre les deux domaines. Cette convergence cr\u00e9e des gains d\u2019efficacit\u00e9 mais augmente \u00e9galement le risque de cybermenaces qui peuvent relier les deux environnements. Des cyberattaques comme Stuxnet ont d\u00e9montr\u00e9 comment les vuln\u00e9rabilit\u00e9s des r\u00e9seaux informatiques peuvent \u00eatre exploit\u00e9es pour cibler les syst\u00e8mes OT. La convergence de l\u2019IT et de l\u2019OT rend essentiel pour les organisations le d\u00e9veloppement d\u2019une strat\u00e9gie de s\u00e9curit\u00e9 unifi\u00e9e qui r\u00e9pond aux besoins uniques des deux domaines.<\/p><p>\u00a0<\/p><p>Bien que la s\u00e9curit\u00e9 informatique et OT partage l\u2019objectif de prot\u00e9ger les actifs, elles diff\u00e8rent consid\u00e9rablement dans leur approche, leurs priorit\u00e9s et les risques encourus. \u00c0 mesure que les syst\u00e8mes industriels sont de plus en plus connect\u00e9s aux plates-formes num\u00e9riques, les professionnels de la cybers\u00e9curit\u00e9 doivent comprendre ces diff\u00e9rences et travailler \u00e0 l'\u00e9laboration de strat\u00e9gies de s\u00e9curit\u00e9 sur mesure qui r\u00e9pondent aux d\u00e9fis uniques des environnements informatiques et op\u00e9rationnels. Maintenir un \u00e9quilibre entre s\u00e9curit\u00e9 et efficacit\u00e9 op\u00e9rationnelle est essentiel pour garantir \u00e0 la fois la s\u00e9curit\u00e9 des processus physiques et la protection des actifs num\u00e9riques. Si vous avez besoin d\u2019aide pour d\u00e9terminer votre position et \u00e9tablir une feuille de route vers un environnement r\u00e9silient, n\u2019h\u00e9sitez pas \u00e0 nous contacter.<\/p><\/div>\n\t\t\t\t\t\t\t\t\t\t\t\t\t<\/div>\n                    <\/div>\n\n                            <\/div>\n        \t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<\/div>","protected":false},"excerpt":{"rendered":"<p>Blog AI and Canada\u2019s Bill C-27 August 19, 2024 | Christian V\u00e9zina \u00a0 Bill C-27 in Canada, specifically the Artificial Intelligence and Data Act (AIDA), introduces a set of obligations to regulate the use of artificial intelligence (AI). First, AIDA proposes a classification of AI systems, particularly distinguishing &#8220;high-risk&#8221; systems, defined by their potential impact on individuals&#8217; rights, safety, or interests. These high-risk systems are subject to stricter requirements than low-risk systems, though all AI systems must be evaluated based on their potential risk. Transparency is also a key aspect of the law, requiring companies to inform users when an AI system is used to make decisions about them. In addition to transparency, explainability is required for high-risk systems, ensuring companies can clearly explain the decisions made by their algorithms. \u00a0 Before deploying any high-risk AI system, companies must conduct an AI impact assessment (AIA) to identify risks related to data protection, security, and individual rights. The results of these assessments must be documented and, in some cases, shared with regulatory authorities. Additionally, companies must implement measures to ensure the security of data and algorithms used by their AI systems while maintaining rigorous data governance to prevent discriminatory biases or errors in outcomes. High-risk AI systems must also undergo continuous monitoring to correct any anomalies or deviations and be regularly audited to allow for traceability and verification of the decisions made by the algorithm. \u00a0 In the event of non-compliance with AIDA obligations, companies may face severe penalties, including significant fines, especially if the misuse of an AI system results in harm to individuals. Companies are also required to take immediate corrective action when an AI system is found to be non-compliant or causes harm, which may include suspending its use or fixing the errors. Compliance with these obligations will be overseen by an AI and Data Commissioner, who will have the authority to conduct investigations, request audits, and impose sanctions for non-compliance. The commissioner will also play a role in promoting ethical AI practices by providing guidelines and encouraging transparency and innovation. \u00a0 Preventing discriminatory biases is another fundamental pillar of the bill. AI systems must be designed to avoid any form of discrimination based on race, gender, age, or other protected characteristics. Companies must demonstrate that they have implemented measures to identify and correct these biases. In this regard, promoting ethical AI practices, such as transparency, fairness, and respect for individual rights, is strongly encouraged. Finally, collaboration with stakeholders, including users and civil society, is promoted to ensure that AI systems are developed and evaluated with ethical and social expectations in mind. \u00a0 In conclusion, Bill C-27, through AIDA, establishes a strict framework for the use of AI in Canada, aimed at protecting individuals&#8217; rights while promoting responsible innovation. For companies looking to benefit from AI, complying with these new obligations will be crucial to ensuring their AI initiatives are not only effective but also ethical and in line with regulatory requirements. If you have any questions, or need help planning your compliance efforts, don\u2019t hesitate to contact us. Bill 25: A Turning Point for Personal Data Protection in Quebec September 2, 2024 | Christian Vezina Adopted on September 22, 2021, Bill 25, also known as the Act to Modernize Legislative Provisions Regarding the Protection of Personal Information, marks a significant milestone in the evolution of data protection in Quebec. This legislation aims to strengthen individuals&#8217; rights and impose new obligations on organizations in both the public and private sectors. Here are the key points of this law and its implications for businesses. \u00a0 New Rights for Individuals: Bill 25 introduces two important new rights for Quebec citizens. The right to data portability allows individuals to request that their personal information be transferred from one organization to another in an accessible format. The right to be forgotten, on the other hand, provides individuals with the ability to demand the deletion of their personal data when it is no longer necessary or when consent has been withdrawn. \u00a0 Increased Obligations for Businesses: Organizations must also comply with several new obligations. Among these, the appointment of a Chief Compliance Officer for the Protection of Personal Information (CCOPI), who will oversee the protection of information within the organization, is now required. This role is typically assigned to the chief executive officer unless otherwise designated. Furthermore, prior to any project involving personal data, businesses must conduct a Privacy Impact Assessment (PIA) to ensure compliance and protect individuals. \u00a0 Explicit Consent and Transparency: Regarding consent and transparency, the law imposes stricter standards. Consent from individuals must be explicit, clear, and informed, and it can no longer be implicit. Organizations must also transparently inform individuals about the use of their data, the purposes for which it is collected, and the rights of the individuals concerned. \u00a0 Management of Privacy Incidents: When a privacy incident occurs, Bill 25 requires mandatory notification to the Commission d\u2019acc\u00e8s \u00e0 l\u2019information (CAI) as well as to the affected individuals if a serious risk is identified. Additionally, organizations must maintain a record of incidents documenting all events related to privacy, regardless of whether notification is required. \u00a0 Sanctions and Penalties: The sanctions outlined in Bill 25 are severe for non-compliant organizations. They face administrative fines of up to $10 million or 2% of their global annual revenue. In cases of serious non-compliance, criminal penalties may be imposed, with fines reaching up to $25 million or 4% of global annual revenue. \u00a0 Implementation Timeline: The law is being implemented gradually over three years, with the first phase on September 22, 2022, marking the appointment of a Chief Compliance Officer for the Protection of Personal Information (CCOPI) and the introduction of initial obligations. On September 22, 2023, the obligation to conduct Privacy Impact Assessments (PIAs) came into effect. Finally, on September 22, 2024, all provisions of the law will be fully in force, including new requirements for transparency and data portability. \u00a0 Implications for Organizations: To comply with Bill 25, businesses<\/p>","protected":false},"author":1,"featured_media":0,"parent":0,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"elementor_header_footer","meta":{"footnotes":""},"class_list":["post-251","page","type-page","status-publish","hentry"],"_links":{"self":[{"href":"https:\/\/vezinacybersolutions.com\/fr\/wp-json\/wp\/v2\/pages\/251","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/vezinacybersolutions.com\/fr\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/vezinacybersolutions.com\/fr\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/vezinacybersolutions.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/vezinacybersolutions.com\/fr\/wp-json\/wp\/v2\/comments?post=251"}],"version-history":[{"count":20,"href":"https:\/\/vezinacybersolutions.com\/fr\/wp-json\/wp\/v2\/pages\/251\/revisions"}],"predecessor-version":[{"id":469,"href":"https:\/\/vezinacybersolutions.com\/fr\/wp-json\/wp\/v2\/pages\/251\/revisions\/469"}],"wp:attachment":[{"href":"https:\/\/vezinacybersolutions.com\/fr\/wp-json\/wp\/v2\/media?parent=251"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}