9.2 – Intervenir en cas d’atteinte à la cybersécurité
Objet et contexte
Les professionnelles et professionnels du développement de carrière (PDC) signalent à l’autorité désignée les activités suspectes ou inhabituelles dans le système informatique de leur organisation afin de déterminer si celles-ci pourraient être le signe d’un problème relié à la sécurité. Une violation des mesures de protection visant des renseignements personnels pourrait causer des préjudices aux personnes concernées.Conformément aux règlements sur la sécurité des données, toute atteinte à la protection des renseignements personnels doit être signalée. Les personnes concernées doivent être informées le plus rapidement possible de la situation et des mesures doivent être prises pour réduire les risques de préjudices. Elles doivent aussi être guidées sur les actions à entreprendre pour atténuer les éventuelles conséquences préjudiciables.
Démonstration de la compétence
Les PDC doivent être en mesure d’accomplir les tâches suivantes :
- D1. Reconnaître les incidents qui pourraient porter atteinte à la sécurité, par exemple :
- Délais anormaux à l’ouverture d’une session
- Redémarrage imprévu
- Configuration modifiée sans approbation préalable
- Verrouillage imprévu du compte utilisateur
- Modification de mots de passe
- Pannes répétées du système ou d’une application
- Anomalies lors de la navigation
- D2. Signaler les brèches de sécurité potentielles à l’autorité désignée, conformément aux politiques et aux procédures
organisationnelles. - D3. Évaluer le risque des préjudices subis par les personnes concernées.
- D4. Documenter les incidents observés :
- Date
- Circonstances
- Types de données à risque.
Connaissances et compréhension
Les PDC doivent connaître et comprendre les éléments suivants :
- C1. Lois et règlements (p. ex. Loi sur la protection des renseignements personnels et les documents électroniques
[LPRPDE]) - C2. Politiques et procédures organisationnelles en matière de sécurité
Variables contextuelles
Les PDC doivent être en mesure d’exercer cette compétence dans les contextes suivants :
D’autres exigences provinciales ou territoriales relatives au signalement des brèches dans le système informatique pourraient s’appliquer en fonction du lieu de pratique des PDC.
Glossaire et principales références
Termes
Termes du secteur employés dans la norme définie ici, s’il y a lieu
Sources d’information et ressources
CCSI. How to detect data breaches before it is too late, consulté le 20 février 2020. https://www.ccsinet.com/blog/how-to-detect-data-breaches-before-its-too-late/.
Échelles de notation en fonction du contexte
Niveau de risque
Q: Quelles conséquences résultent de l’incapacité d’un ou d’une PDC à exercer cette compétence conformément à la norme?
Fréquence
Q: À quelle fréquence et dans quelles conditions les PDC doivent-ils exercer cette compétence?
Niveau de difficulté
Q: Comment évaluez-vous le niveau de difficulté lié à l’exercice de cette compétence dans des circonstances normales?
Temps nécessaire pour maîtriser la compétence
Q: Quel est le délai moyen ou le nombre minimal d’occurrences requises pour qu’une personne maîtrise la compétence conformément à la norme?
Les PDC doivent suivre les formations requises par leur organisation dès leur intégration, de même que des formations de mise à niveau, pour comprendre en détails les politiques et les procédures en vigueur en matière de sécurité. Les PDC ne doivent ménager aucun effort pour appuyer la culture de sécurité de leur organisation.
Autonomie
Les PDC exercent habituellement cette compétence avec supervision, et en équipe.
Automatisation
Il est peu probable que cette compétence s’automatise.