Confidentialité de vos données en péril ? Agissez avant qu’il ne soit trop tard !

Blogue

Confidentialité de vos données en péril ? Agissez avant qu’il ne soit trop tard !

20 février 2026

Table des matières

1 Le plan d’action de Steve Waterhouse pour sécuriser vos donnés en 5 points :

2 1. Le Cloud n’est pas « magique »

3 2. Même stockées au Canada, vos données ne sont pas à l’abri du Cloud Act

4 3. Les cybermenaces viennent de partout

5 4. La conformité, c’est bien. La sécurité, c’est mieux !

6 5. Les avantages d’un cloud souverain

Le plan d’action de Steve Waterhouse pour sécuriser vos donnés en 5 points :

À l’occasion de la Journée internationale de la protection des données, nous avons eu le privilège de recevoir Steve Waterhouse, expert de renom et ancien sous-ministre adjoint à la cybersécurité du Québec.

Dans un monde hyperconnecté, où les cyberattaques se multiplient, et où les lois géopolitiques redessinent les règles du jeu, la sécurité des données n’est plus une option technique, mais plus un impératif stratégique.

Vous avez manqué la session ? Pas de panique. Voici les 5 enseignements majeurs à retenir pour protéger votre organisation en 2026.

1. Le Cloud n’est pas « magique »

On pourrait croire que confier ses données à un géant du cloud, c’est comme les déposer dans un coffre-fort. C’est une idée reçue qui nécessite d’être déconstruite ! Steve Waterhouse insiste en soulignant que « la sécurité ne dépend pas de votre fournisseur. Elle dépend de ce que vous faites. ». Plutôt parlant non ?

Pour vous donner un exemple, nous pouvons parler des buckets S3 mal configurés. Ces espaces de stockage dans le cloud, souvent utilisés pour héberger des fichiers, sont régulièrement la cible de piratage. Pourquoi ? Parce qu’il arrive que certaines entreprises oublient de verrouiller l’accès public, laissant des milliers de documents sensibles exposés sur le web.

Mais alors que faire ? Eh bien cela commence par des choses simples comme :

Vérifier les permissions de vos espaces de stockage,
Activer le chiffrement par défaut,
Exiger la double authentification (2FA) pour TOUS vos comptes.

2. Même stockées au Canada, vos données ne sont pas à l’abri du Cloud Act

Beaucoup d’entreprises pensent que stocker leurs données au Canada les protège automatiquement des lois étrangères. Eh bien figurez-vous que c’est encore une idée reçue ! En effet, grâce à des lois comme le Cloud Act mise en place en 2018, les autorités ont le droit d’exiger l’accès à vos données… Eh oui, même si vos serveurs sont au Canada par exemple. Pour faire simple, si votre fournisseur cloud est américain, vos données peuvent être accessibles sans que vous le sachiez. Cela inclut les géants comme Azure de Microsoft, Google ou AWS.. Nous fait comprendre Steve.

Pour éviter tout ça, il est donc très important, et presque primordial de mettre en place certaines choses. Parmi elles, vous pouvez commencer par vous poser les bonnes questions. Où sont physiquement stockées vos données ? Qui peut y accéder en cas de demande judiciaire ? Si vous n’êtes pas convaincu par la réponse, nous pouvons vous conseiller de choisir un fournisseur 100 % souverain, comme Oriso, qui garantit que vos données restent sous contrôle canadien sans parler de juridiction étrangère.

3. Les cybermenaces viennent de partout

C’est très clair, le paysage des menaces n’est plus celui qu’on pensait il y a quelques années. Nous avons tous et toutes déjà eu la vision du hackers masqué bien caché. Eh bien pourtant, la faille la plus fréquente reste l’humain. Un contrat mal lu, ou mal fait, un mot de passe trop simple ou l’absence d’authentification à deux facteurs (MFA) sont les portes d’entrée préférées des attaquants. Attention également à ne pas ça à quelqu’un pas qualifié dans le milieu.

À garder en tête qu’il existe toujours présentement une menace extérieur qui est réelle, comme l’explique l’évaluation des cybermenaces nationales faite par le centre canadien de la cybersécurité, que nous vous invitons à consulter !

Il est alors primordial de mettre en place de nouveaux processus :

Inventoriez et classez vos données par sensibilité, puis appliquez un chiffrement adapté et des politiques Data Loss Prevention pour éviter les fuites accidentelles.
Ne prenez pas la confiance pour acquise. Adoptez un accès minimal, des segmentation des environnements, un contrôle des clés de chiffrement…
Activez la 2FA partout, auditez les permissions régulièrement et surveillez les comportements suspects.
Choisissez des partenaires souverains (comme Oriso), vérifiez leur juridiction et prévoyez toujours un plan B.
Impliquez la direction, formez les équipes et rendez la sécurité accessible (outils intuitifs, simulations de phishing, ambassadeurs internes).

Comme le dit très justement Steve, “la sécurité du cloud n’est pas une configuration technique, c’est une discipline continue” !

4. La conformité, c’est bien. La sécurité, c’est mieux !

Beaucoup d’entreprises se reposent sur des certifications comme SOC 2 ou ISO 27001 pour se rassurer. C’est une très bonne base, encore faut-il savoir les comprendre et toujours les compléter par une vigilance quotidienne. Voici les certifications clés à connaître pour évaluer vos fournisseurs (sans les considérer comme une garantie absolue) :

ISO 27001 : La norme internationale pour la gestion de la sécurité de l’information. Elle atteste que le fournisseur a mis en place un système de management de la sécurité.
SOC 2 Type 2 : Un rapport d’audit qui évalue les contrôles de sécurité, de disponibilité et de confidentialité du service.
NIST CSF (Cybersecurity Framework) : Cadre de cybersécurité américain axé sur 5 piliers (identifier, protéger, détecter, répondre, récupérer).
Loi 25 : Réglementation locale qui impose des exigences strictes en matière de protection des données personnelles.
CMMC (Cybersecurity Maturity Model Certification) : Norme américaine liée aux projets militaires, avec des adaptations canadiennes émergentes pour les projets de défense.

Il est tout de même important de comprendre qu’une certification ne fait pas de vous une entreprise intouchable. Par exemple, un fournisseur certifié SOC 2 peut quand même subir une fuite si ses employés ne suivent pas les protocoles. Le conseil de l’expert est simple : combinez certifications + audits réguliers + contrats précis pour une sécurité réelle. Et n’oubliez pas, la meilleure certification reste une relation de confiance avec un partenaire souverain et transparent.

5. Les avantages d’un cloud souverain

Avantages potentiels	Détails
Contrôle juridique	Permet un contrôle juridique sur les données et la conformité aux lois locales sur la protection des données. Cela permet en cas de changement de réglementation de s’adapter, et non pas de subir.
Proximité régionale	Les centres de données régionaux améliorent la latence, la disponibilité du support dans la chaîne d’approvisionnements, mais aussi la conformité.
Transparence sur la chaîne d’hébergement	Essentielle pour surveiller qui accède aux données et qui travaille dans notre chaîne d’approvisionnement afin de cibler facilement ce qui est à améliorer.
Modèles hybrides plus flexibles	Plus facile de s’adapter aux réglementations changeantes et aux risques géopolitiques.
Possibilités de certifications locales	Permet de connaître votre état actuel, puis anticiper votre évolution, afin de rassurer votre clientèle.

Alors comme l’a très justement souligné Steve Waterhouse : “Les menaces sont réelles, mais les solutions existent. À vous de jouer” !

Articles reliées

Oriso fait l’acquisition de Vullify et mise sur la cybersécurité souveraine
7 avril 2026

Guide de Conformité et Souveraineté Numérique
13 mars 2026
La souveraineté numérique : un enjeu clé pour le Québec
6 mars 2026
Un changement stratégique majeur pour le Groupe ISM
26 février 2026
Le SaaS : une transformation inévitable pour les éditeurs de logiciels
26 février 2026

Solutions Cloud

IC3: Plateforme De Gestion Cloud

Blogue