PME - Expliquer les pans de la cybersécurité
15 septembre 2023
Parce que... c'est l'épisode 0x358!
Teknik - Pentest cloud - Accès initial
22 août 2023
Parce que... c'est l'épisode 0x357!
Spécial - Réfléchir en liste ou réfléchir en graph
11 septembre 2023
Parce que... c'est l'épisode 0x356!
Spécial - Les formes d'entreprises (France et Canada) pour accueillir le freelance
16 juin 2023
Parce que... c'est l'épisode 0x355!
Teknik - Retour d'expérience - Google Next '23 (2e partie - les autres annonces)
14 septembre 2023
Parce que... c'est l'épisode 0x354!
Teknik - Kubernetes - Les API et le RBAC
30 mai 2023
Parce que... c'est l'épisode 0x353!
Spécial - Panel spectaculaire sur les voûtes de mot de passe
14 septembre 2023
Parce que... c'est l'épisode 0x352!
Juridik - Les autres obligations de la loi 25 (EFVP, nouveaux droits, nouvelles sanctions)
15 septembre 2023
Parce que... c'est l'épisode 0x351!
Teknik - Analyse d'un malware - Stuxnet
28 juin 2023
Parce que... c'est l'épisode 0x350!
Juridik - Lignes directrices sur le consentement des renseignements personnels (Loi 25)
08 septembre 2023
Parce que... c'est l'épisode 0x349!
Teknik - Retour d'expérience - Google Next '23 (1ère partie - Cloud Firewall Plus)
30 août 2023
Parce que... c'est l'épisode 0x348!
H'umain - Sensibilisation de l'utilisateur
27 juin 2023
Parce que... c'est l'épisode 0x347!
Spécial - Retour d'expérience - Blue Team Con 2023
03 septembre 2023
Parce que... c'est l'épisode 0x346!
Teknik - Regards sur la fuite de la clé MSA
23 août 2023
Parce que... c'est l'épisode 0x345!
Teknik - Les signaux, l'élément atomique d'analyse cybersécurité
21 août 2023
Parce que... c'est l'épisode 0x344!
Teknik - BeyondCorp Enterprise (ZTNA) - Pourquoi chez Google je n'utilise jamais de VPN, je n'installe jamais d'applications et je ne télécharge aucune donnée sur mon laptop
18 mai 2023
Parce que... c'est l'épisode 0x343!
Spécial - Démarche pour devenir un indépendant
02 juin 2023
Parce que... c'est l'épisode 0x342!
Teknik - Introduction aux tests d'intrusions infonuagique
21 juin 2023
Parce que... c'est l'épisode 0x341!
PME - Mot de passe "all in"
09 juin 2023
Parce que... c'est l'épisode 0x340!
Teknik - Kubernetes - Introduction au container
30 mai 2023
Parce que... c'est l'épisode 0x339!
Spécial - Retour d'expérience - DEFCON 31
13 août 2023
Parce que... c'est l'épisode 0x338!
Teknik - La sécurité en infonuagique... pourquoi devons-nous la payer en plus?
17 avril 2023
Parce que... c'est l'épisode 0x337!
Teknik - M365 Copilot et retour sur le White/Grey/Black box
26 juin 2023
Parce que... c'est l'épisode 0x336!
Curieux - La protection des données personnelles en 100 Questions/Réponses (Chapitre 6)
05 mai 2023
Parce que... c'est l'épisode 0x335!
Juridik - Gestions des tiers
02 mai 2023
Parce que... c'est l'épisode 0x334!
Parce que… c’est l’épisode 0x334!
Shameless plug
- 10 au 13 août 2023 - DEFCON
- 25 au 27 août 2023 - Blue Team Con
- 29 au 31 août 2023 - Google Next ‘23
- 21 au 23 novembre 2023 - European Cyber Week
- février 2024 - SéQCure
- Formation Crise et résilience
Description
Dans ce podcast, les intervenants discutent d’un sujet critique de l’heure : la gestion des tiers et la protection des renseignements personnels dans le contexte québécois régi par la Loi 25 et autres réglementations similaires comme le RGPD en Union Européenne.
Pour commencer, ils mettent en avant l’importance cruciale de la gestion des tiers dans les organisations. Cette gestion est caractérisée par une complexité accrue en raison du manque de contrôle direct sur les tiers et les multiples ramifications qui en découlent en termes de relations contractuelles et de gestion des données personnelles.
Les intervenants soulignent la nécessité d’un processus rigoureux avant même l’établissement d’un contrat avec un tiers. Ce processus devrait inclure une analyse approfondie des politiques de confidentialité du fournisseur potentiel, une évaluation de sa sensibilité à la gestion des renseignements personnels, et une vérification des mesures de sécurité qu’il a en place. Cette évaluation devrait également prendre en compte la formation et les certifications éventuelles des employés du fournisseur.
Ils insistent ensuite sur la nécessité d’une diligence raisonnable pour évaluer les risques potentiels, y compris la compréhension de la chaîne de responsabilité qui s’étend aux fournisseurs du fournisseur initial. Cela inclut une évaluation des risques liés aux transferts de données hors du Québec, qui peut être affectée par des différences significatives dans les réglementations de protection des données entre les juridictions.
La discussion évolue ensuite vers les exigences contractuelles et légales, soulignant l’importance d’inclure des clauses spécifiques dans les contrats pour gérer divers risques et responsabilités. Les intervenants mentionnent la possibilité d’avoir des niveaux d’exigence différents selon la nature du service fourni par le fournisseur.
Par la suite, l’accent est mis sur l’importance de la gestion continue de la relation avec les fournisseurs, soulignant que la signature du contrat n’est que le début. Ils recommandent un suivi régulier et une mise en place de mesures permettant des vérifications régulières afin de s’assurer que les normes sont respectées tout au long de la durée de la relation. Cette section souligne aussi l’importance de clauses comme celle d’audit qui permettent une surveillance continue et adaptative des pratiques du fournisseur.
En fin de compte, la conversation se penche sur les défis pratiques de la mise en œuvre de ces mesures, en particulier pour les petites et moyennes entreprises (PME) et les organisations du secteur public qui peuvent ne pas avoir l’expérience ou les ressources pour gérer efficacement ces processus complexes. Ils mentionnent le rôle crucial de l’incorporation de la vérification des fournisseurs dans la culture organisationnelle, tout en reconnaissant la charge supplémentaire que cela peut représenter pour les entreprises.
En résumé, le texte explore en profondeur les divers aspects de la gestion des tiers dans le contexte québécois, mettant en lumière les enjeux critiques et les meilleures pratiques pour naviguer dans le paysage complexe et en évolution rapide de la protection des renseignements personnels. La discussion éclaire sur l’importance de l’analyse des risques, de l’évaluation continue et de la mise en œuvre stratégique de mesures contractuelles et organisationnelles pour sécuriser les données dans un écosystème interconnecté.
Notes
- À venir
Collaborateurs
Crédits
- Montage par Intrasecure inc
- Locaux virtuels par Riverside.fm
Tags: audit, contrat, efvp
Tweet