Sécurité des données et protection des renseignements personnels

La formation et la vigilance de nos employés sont essentielles pour assurer la protection des données de nos Clients. Chaque année, tous les employés suivent des cours obligatoires sur la sécurité et la protection des renseignements personnels. Cette formation les aide à comprendre leurs responsabilités, les règles applicables et la façon de protéger les données et les renseignements personnels des Clients.

De plus, nous fournissons des conseils et disposons de programmes de sensibilisation qui aident les employés à approfondir leurs connaissances. Par exemple, notre équipe de la sécurité effectue des simulations d’hameçonnage interactives. Grâce à ces exercices, les employés apprennent à repérer les vraies cybermenaces et à ne pas se faire berner.

La cybersécurité est une préoccupation grandissante pour le public – et une priorité pour la Sun Life. Les organisations du monde entier font face à de plus en plus d’attaques contre leurs systèmes informatiques perpétrées par des groupes sophistiqués.

Notre vice-président principal et premier directeur de la sécurité informatique est chargé de surveiller, à l’échelle mondiale, la mise en place de notre programme de sécurité informatique et de nos Principes directeurs en matière de gestion du risque de sécurité. Il dirige une équipe de plus de 170 personnes hautement qualifiées. Son mandat englobe le développement, l’exécution et la gestion opérationnelle des activités de la Sun Life liées à la stratégie en matière de sécurité, aux évaluations des risques, aux contrôles de sécurité, à la surveillance, aux réponses aux incidents et au contrôle de la conformité.

Nous continuons de faire évoluer nos mesures de cyberdéfense pour qu’elles demeurent efficaces contre les menaces émergentes. Par exemple :

• Meilleures pratiques de défense – Nos programmes de sécurité intègrent les principales normes, comme le cadre de cybersécurité du National Institute of Standards and Technology. Ce cadre décrit les meilleures pratiques que les entreprises peuvent adopter pour gérer et réduire les risques liés à la cybersécurité.

• Mécanismes de contrôle multiples – Nous utilisons un modèle à trois lignes de défense pour gérer les risques de sécurité (voir la section Gestion des risques). Nous appliquons une « stratégie de défense évoluée » qui prévoit plusieurs mécanismes de contrôle pour protéger les données. En voici quelques exemples : pare-feu pour les applications Web, protection contre les logiciels malveillants, chiffrement des données, surveillance contre les intrusions et protection contre les menaces par courriel.

• Vérification de la sécurité – Nous vérifions et testons périodiquement la sécurité de nos systèmes et de nos pratiques liés aux données des Clients. L’équipe de la sécurité évalue l’efficacité de nos mécanismes de sécurité et contribue activement à leur amélioration. Nous utilisons des solutions de sécurité fondées sur l’intelligence artificielle et l’apprentissage automatique. Ces technologies aident nos analystes de la sécurité à évaluer les menaces et à répondre aux cyberattaques. Chaque trimestre, nous produisons un rapport sur les cyberrisques et la cybersécurité pour le comité d’examen des risques du conseil d’administration.

• Cyberrenseignements – Nous utilisons plusieurs services de cyberrenseignements pour nous aider à déterminer et à évaluer les meilleures solutions pour améliorer nos mesures de défense contre les cybermenaces.

Nous sommes tenus de protéger les données qui nous sont confiées. Et notre réputation en dépend. Voici quelques-unes des mesures que nous prenons pour remplir cette obligation :

• Engagement à respecter les normes – Notre programme mondial de protection des renseignements personnels s’insère dans un cadre intégré de gestion des risques à l’échelle de l’entreprise. Il comprend des processus rigoureux et des normes strictes, dont notre déclaration mondiale pour la protection des renseignements personnels. Celle-ci décrit comment nous recueillons et utilisons, de façon respectueuse et conforme à la loi, les renseignements personnels des Clients et des autres personnes avec qui nous interagissons.

• Surveillance et communication de l’information – La première directrice, protection des renseignements personnels assure la supervision et détermine l’orientation de la conformité en matière de protection des renseignements personnels à l’échelle de l’entreprise. Des responsables de la protection des renseignements personnels aident les divisions à prendre des décisions touchant la confidentialité des données. Chaque trimestre, nous faisons part au conseil d’administration de toute question importante liée à la protection des renseignements personnels.

• Protection des renseignements personnels dès la conception – Les principes de protection des renseignements personnels font partie intégrante de la conception de nos produits. Pour tout nouveau projet ou changement important, nous effectuons une évaluation des répercussions sur la protection des renseignements personnels (ERPRP). Nous ajoutons également des clauses particulières dans nos contrats avec les tiers fournisseurs de services qui gèrent des renseignements personnels pour nous.

La Sun Life participe à plusieurs groupes de l’industrie visant à partager renseignements et meilleures pratiques pour renforcer les programmes de protection des données. Ces groupes comprennent :

• Le Financial Services Information Sharing and Analysis Center
• Le groupe de spécialistes de l’Association des banquiers canadiens
• Le groupe de travail de l’Association canadienne des compagnies d’assurances de personnes
• L’Échange canadien des menaces cybernétiques
• Le Canadian Anonymization Network
• L’American Council of Life Insurers
• Le Life Insurance Council of New York, Inc.