Liens de la barre de menu commune

Archivé — Conseils pour réduire les risques

Les informations archivées sont fournies aux fins de référence, de recherche ou de tenue de documents. Elles ne sont pas assujetties aux normes Web du gouvernement du Canada et n'ont pas été modifiées ou mises à jour depuis leur archivage. Pour obtenir ces informations dans un autre format, veuillez communiquez avec nous.

Trousse d'information sur le vol d'identité à l'intention des pour ldes entreprises

Page précédante | Menu | Page suivante

Conseils pour réduire les risques

Examinez les pratiques au sein de votre entreprise

Toutes les organisations doivent gérer le « cycle de vie » des renseignements personnels qu'elles recueillent. Le vol peut être perpétré par des personnes de l'extérieur qui réussissent à accéder aux renseignements; il peut aussi être l'oeuvre de quelqu'un à l'interne. Une bonne stratégie de sécurité doit prévoir des mesures contre ces deux possibilités.

Consacrez du temps à examiner les questions relatives à la protection des renseignements personnels.
Désignez quelqu'un qui sera chargé de superviser la gestion et la sécurité des renseignements recueillis, ou assumez vous-même cette responsabilité.
La personne responsable de la protection des renseignements personnels et de la sécurité doit évaluer :
  • les processus en place pour recueillir, traiter, stocker et détruire les données électroniques et sur papier;
  • la protection des systèmes informatiques, comme les pare-feu et les pistes de vérification;
  • le rôle et le niveau de sécurité des personnes qui ont accès aux renseignements relatifs au personnel et aux clients;
  • comment faire connaître vos politiques aux clients et au public et que dire en cas de vol de renseignements.

Pour une entreprise, la collecte et l'utilisation de renseignements personnels comportent habituellement cinq aspects importants :

Collecte

Sachez ce que vous recueillez et dans quel but.
Passez en revue tous les renseignements personnels recueillis par votre organisation dans le cadre de transactions ainsi qu'à d'autres moments. Recueillez-vous des données relatives aux clients?
Déterminez les fins pour lesquelles de tels renseignements sont recueillis, informez les clients en ce sens et obtenez leur consentement. Faites en sorte que vos employés puissent expliquer les raisons pour lesquelles ils recueillent les renseignements.
Si vous n'en avez pas besoin, ne les recueillez pas.
Nombre d'entreprises recueillent plus de renseignements qu'elles n'en ont besoin, en particulier lorsqu'elles demandent à leurs clients de remplir des formulaires.
Envisagez de ne pas demander l'adresse postale, l'adresse électronique ni le numéro de téléphone si vous n'avez besoin que du nom. Le numéro d'assurance sociale (NAS) est un numéro confidentiel que le client n'est tenu de déclarer que lorsqu'il obtient des revenus (d'un emploi ou d'investissements), aux fins de déclaration d'impôts. Autrement, il ne devrait pas être recueilli.
Les renseignements personnels ne doivent pas être à la vue de tous.
Les personnes qui font la queue à votre bureau ou à votre magasin peuvent-elles entendre les clients fournir leur numéro de téléphone ou leur mot de passe à vos employés?
Avisez les employés qui doivent obtenir des renseignements personnels de parler de façon discrète. Placez les écrans des ordinateurs de façon à ce qu'ils ne puissent être vus que par l'utilisateur.
Protégez les cartes des clients.
Lorsque les clients font des achats, assurez-vous qu'ils puissent entrer leur numéro d'identification personnel (NIP) sans pouvoir être observés.
Installez des parois de protection sur les terminaux et faites des vérifications régulières pour vous assurer que l'équipement n'a pas été altéré. Placez les caméras vidéo de surveillance de façon à ce que l'entrée du NIP des clients ne soit pas enregistrée.
Vérifiez les cartes.
Le personnel devrait s'assurer que les clients sont bien qui ils prétendent être en comparant la signature à celle qui se trouve au verso de la carte et, au besoin, en demandant une pièce d'identité avec photo.
Envisagez d'utiliser des appareils qui tronquent les numéros des cartes de débit et de crédit lors de l'impression des reçus (c. à d. qui n'impriment qu'une partie du numéro de carte) afin de mieux protéger les consommateurs. Ne prenez pas en note les numéros de cartes dont vous n'avez pas besoin.
Surveillez le crédit.
Si vous accordez du crédit à certains clients, surveillez les écarts ou les changements récents d'adresse du demandeur. Prenez des mesures supplémentaires pour vérifier l'identité de la personne en demandant, par exemple, d'autres pièces d'identité.
Si une alerte de fraude est inscrite au dossier de crédit du client, les agences d'évaluation du crédit vous fourniront le numéro de téléphone confirmé du client pour vous permettre de vérifier la validité de la demande.
Sécurisez les ventes en ligne.
Il y a des risques associés aux transactions effectuées en ligne :
  • Les données transmises peuvent être volées au moyen de virus informatiques.
  • · L'« usurpation de marques » (brand spoofing) fait référence à la technique qui consiste à se servir de l'identité d'entreprises pour créer des sites Web ou courriels bidons ressemblant à ceux d'organisations légitimes dans le but de tromper les clients et de les amener à fournir leurs renseignements personnels et financiers. On parle plus spécifiquement d' « hameçonnage » (phishing) lorsque ces attaques frauduleuses prennent la forme de courriels contrefaits.
Voici certaines des pratiques exemplaires pour contrer de tels risques :
  • Si vous demandez que le paiement soit fait par carte de crédit, minimisez les risques de fraude en utilisant le logiciel de cryptage recommandé par des spécialistes qui connaissent les meilleurs appareils et technologies. Affichez sur votre site Web votre politique de confidentialité ainsi que les niveaux de cryptage et autres caractéristiques de sécurité que vous utilisez.
  • Informez précisément vos clients des renseignements que votre entreprise leur demandera et de ceux qu'elle ne leur demandera pas sur les sites Web ou par courriel.
  • Fournissez aux clients les renseignements nécessaires pour qu'ils puissent se renseigner au sujet des courriels et des sites Web suspects ou encore les signaler.
  • Assurez-vous que vous êtes bien la personne inscrite en tant que détenteur et responsable du site Web de votre entreprise, plutôt que le concepteur du site.
  • Annoncez clairement les adresses valides du site Web de votre entreprise dans toutes vos publications.
  • Enregistrez les variations des adresses du domaine de votre site Web pour éviter que d'autres s'en servent.
Le Code canadien de pratiques pour la protection des consommateurs dans le commerce électronique énonce les pratiques exemplaires que les commerçants qui exercent des activités commerciales en ligne avec les consommateurs devraient adopter.

Utilisation

Limitez l'utilisation.
Les données ne devraient servir qu'aux fins indiquées ouvertement aux consommateurs.
Limitez l'accès.
Après avoir fait l'inventaire des données que vous recueillez, déterminez qui devrait y avoir accès.
Limitez-en l'accès aux personnes qui en ont besoin et protégez-les par des mots de passe.
Confiez exclusivement à votre gestionnaire de réseau la tâche de faire les copies de sauvegarde et les autres tâches qui exigent l'accès au réseau de votre entreprise.
Bloquez l'accès aux ordinateurs en veille au moyen de verrouillages automatiques qui exigent un mot de passe d'utilisateur autorisé.
Chiffrez vos données.
Les progiciels de cryptage autonomes sont compatibles avec diverses applications, et d'excellents logiciels sont disponibles sur le marché.
Si un intrus réussissait à traverser un pare-feu, les données du réseau peuvent demeurer en sécurité si elles sont chiffrées.
Cryptez les ordinateurs portatifs et les autres périphériques utilisés à distance, comme les appareils sans fil (de type BlackBerry, par exemple).
Faites la mise à jour de vos applications de cryptage.
Vérifiez les accords des commerçants que votre entreprise a signés avec les émetteurs de cartes de paiement quant aux exigences en matière de cryptage.
Dans la mesure du possible, évitez d'utiliser des ordinateurs communs et des numéros d'identification génériques ou de groupe pour l'ouverture de session.
Les mots de passe sont essentiels.
Exigez que les employés utilisent une combinaison de lettres majuscules et minuscules, de chiffres et de symboles. Les mots de passe devraient être changés régulièrement (p. ex. tous les 90 jours).
Faites des vérifications en ligne et hors ligne pour détecter les activités suspectes.
Presque tous les progiciels pare-feu, de cryptage et de création de mots de passe comportent une fonction de vérification qui enregistre les activités du réseau.
Vérifiez les données relatives aux ouvertures de sessions et suivez les pistes de vérification en cas d'activité inhabituelle ou suspecte, comme l'accès par des employés à des données non reliées aux activités quotidiennes de l'entreprise.

Divulgation

Sachez qui est votre interlocuteur.
Des escrocs reconnus coupables disent aux autorités combien il leur a été facile d'obtenir de précieux renseignements simplement en les demandant.
Se faisant passer pour des fonctionnaires ou des représentants de sociétés de crédit, les voleurs fabriquent des histoires crédibles, téléphonent aux entreprises et obtiennent des employés qu'ils divulguent des renseignements habituellement conservés dans des classeurs verrouillés ou sur des disques durs protégés par un mot de passe.
Autorisation.
Si votre organisation divulgue des renseignements personnels à des personnes autres que leur propriétaire, assurez-vous d'avoir l'autorisation légale requise. Élaborez des politiques strictes et claires expliquant aux employés comment et quand divulguer des renseignements.
Tierces parties.
Assurez-vous que les organisations avec lesquelles vous échangez des renseignements au sujet de la clientèle (fournisseurs, entrepreneurs, clients, etc.) protègent les données qu'elles détiennent et que vous avez l'autorisation légale adéquate (c. à d. le consentement du client) pour échanger de telles données avec elles.
Faites preuve d'ouverture quant à votre politique et à vos pratiques.
Conformément à la législation sur la protection de la vie privée, vous êtes tenu de faire connaître votre politique et vos pratiques à quiconque en fait la demande. Informez les consommateurs des mesures mises en place par votre organisation pour protéger leurs renseignements. Vous pouvez également leur suggérer de consulter la Trousse sur le vol d'identité pour les consommateurs.

Sécurité et stockage des données

Si vous stockez des données, assurez-en la sécurité physique.
  • Les dossiers papier renfermant des renseignements personnels doivent être gardés sous clé et les ordinateurs, protégés par un mot de passe.
  • Installez les serveurs dans un local sécuritaire à accès contrôlé et gardez sous clé les autres supports et périphériques (p. ex. les CD ou les bandes de sauvegarde).
  • Gardez sous clé tous les ordinateurs portatifs pour empêcher que des voleurs s'en emparent.
  • Empêchez les clients et le personnel non autorisé d'accéder aux zones privées et protégées.
  • Avisez les employés de sauvegarder les données sur les lecteurs du réseau lorsqu'ils existent, et non sur le lecteur « C: » ou disque dur où elles sont moins bien protégées. En cas de vol du disque dur, les renseignements stockés sur les lecteurs du réseau restent protégés.
  • Ne copiez pas des bases de données entières sur des appareils lorsqu'une liste partielle suffit.
  • N'installez pas de modems ni de cartes de réseau local (RL) dans les ordinateurs qui n'en ont pas besoin.
  • Envisagez de faire installer un système d'alarme, de préférence un système relié à la centrale d'une entreprise de services de sécurité. L'assureur de votre entreprise peut sans doute vous aider à évaluer la sécurité de vos activités.
  • Empêchez que des photocopies soient faites sans autorisation.
Protection contre les virus.
Installez un logiciel antivirus sur tous les ordinateurs et scannez périodiquement les systèmes pour y déceler la présence de virus. Ne désactivez jamais le logiciel antivirus et mettez-le à jour fréquemment.
Pare-feu.
Un pare-feu doit être installé à chaque point où un système informatique est en contact avec d'autres réseaux, y compris Internet, le système d'un client ou le réseau d'une compagnie de téléphone. Un pare-feu protège contre les accès non autorisés à de l'information. Demandez également à votre fournisseur de services Internet quels autres filtres peuvent être utilisés.
Installez les correctifs de sécurité.
La plupart des fabricants de logiciel publient des mises à jour et des correctifs de sécurité pour corriger les bogues qui peuvent permettre aux pirates informatiques de s'introduire dans votre ordinateur. Demandez au fabricant s'il existe de nouveaux correctifs de sécurité ou s'il offre l'installation de ceux-ci avec fonctions automatisées.

Destruction

Sachez quels documents doivent être déchiquetés.
Lorsque vous recueillez des renseignements (sur papier ou sous format électronique) pour une transaction unique ou pour une utilisation temporaire, séparez-les des autres dossiers et détruisez-les ensuite de manière sécuritaire.
Ainsi, les curriculum vitae de candidats non retenus peuvent contenir beaucoup de détails et devraient être déchiquetés. Les voleurs d'identité savent que les conteneurs de recyclage et les poubelles contiennent de précieux renseignements.
Assurez-vous que les employés savent quels sont les documents de nature délicate et qui doivent être déchiquetés. Il est possible de recourir aux services d'une entreprise spécialisée dans la destruction de documents ou de se procurer des déchiqueteurs peu coûteux. Les déchiqueteurs qui coupent les documents transversalement sont les plus efficaces.
Détruisez les données.
Établissez un calendrier pour la conservation des données basé sur des prescriptions légales, contractuelles ou encore pour des besoins de recours. Détruisez les données en conséquence, effacez les fichiers, supprimez les copies de toutes les bases de données et de tous les répertoires du réseau, et utilisez un logiciel de nettoyage pour vous assurer qu'elles sont supprimées à jamais.
Le « nettoyage » réduit les risques qu'il reste des données dans le système. Lorsque vous vous débarrassez de matériel informatique, il est peut-être préférable de détruire physiquement le disque dur, les CD, les bandes et les disquettes, ou de faire appel à une entreprise spécialisée dans la destruction de ce genre de matériel.

Le personnel et la sécurité des données

Choisissez soigneusement vos employés.
Pour protéger votre entreprise contre la fraude interne, songez à vérifier les antécédents des personnes qui auront accès à des données de nature délicate.
Il existe des entreprises qui peuvent faire pour vous de telles vérifications (y compris le casier judiciaire, les références et les attestations d'études).
Faites régulièrement des vérifications de sécurité des employés qui travaillent dans des secteurs à risque élevé (par exemple, à l'occasion de l'évaluation annuelle du rendement des employés) afin de vous assurer que vos employés n'ont toujours pas de casier judiciaire.
Donnez de la formation à vos employés.
Assurez-vous que votre personnel comprenne les politiques en matière de protection de la vie privée et sache comment demander aux clients leurs renseignements personnels. Affichez les règles suivantes comme liste de contrôle à l'intention de tous vos employés :
  • Utilisez des mots de passe alphanumériques à l'ouverture d'une session et changez-les régulièrement.
  • Ne demandez pas à un client de vous transmettre des renseignements personnels en présence de tiers et assurez-vous que le client peut entrer son NIP en toute confidentialité.
  • Comparez les signatures et assurez-vous que le client est bien la personne qu'il prétend être.
  • Si vous constatez l'altération de terminaux ou de bases de données, signalez le à la direction.
  • Gardez sous clé les renseignements relatifs aux clients.
  • Déchiquetez les rebuts renfermant des données à caractère confidentiel, y compris des renseignements sur les cartes de paiement et des photocopies de pièces d'identité.
  • Ne laissez rien sur les bureaux à la fin de la journée.
  • Accédez aux bases de données uniquement lorsque vous y êtes autorisé.
  • Verrouillez les systèmes lorsqu'ils ne sont pas utilisés.
Surveillez les menaces.
Chargez l'agent d'information ou un employé clé de faire le suivi des menaces potentielles à la sécurité et des mises à jour technologiques, et demandez-lui, le cas échéant, de les signaler aux employés et aux gestionnaires.
Formation pour reconnaître des faux documents.
Formez vos employés sur la façon de reconnaître de fausses pièces d'identité.
Accès au réseau.
Ne fournissez l'accès au réseau qu'aux employés qui ont besoin des renseignements. Lorsqu'un employé quitte, annulez immédiatement son accès au réseau.

Améliorez vos pratiques

Les renseignements recueillis par votre entreprise changeront au fil du temps. Il en sera de même pour la technologie informatique, les bases de données et le personnel. Tenez compte des effets engendrés par tout changement apporté à vos activités sur la façon dont vous gérez les renseignements personnels.

* Toutes les anecdotes relatées dans les encadrés sont vraies. Seuls les noms, les lieux et d'autres détails mentionnés ont été changés.

Le vol d'identité :

  • Identifiez-le.
  • Signalez-le.
  • Enrayez-le.

Précédant | Menu | Suivant