La préservation du système d’information est l’affaire de tous ! Il est donc primordial que les collaborateurs de l’entreprise soient sensibilisés sur les risques liés à la sécurité informatique.
À cet effet, il est indispensable que l’employeur formule à l’ensemble de ses collaborateurs des recommandations très précises et concrètes à suivre dans le cadre de l’utilisation à distance des ressources et services du système d’information de l’entreprise, parfois en complément des mesures internes déjà en place.
Les recommandations publiées sur le site cybermalveillance.gouv.fr insistent notamment sur :
- la séparation des usages personnels et professionnels : réserver les outils professionnels à la réalisation de l’activité professionnelle, de manière responsable et vigilante, et réserver les moyens personnels aux activités personnelles pour éviter toute faille de sécurité préjudiciable pour l’entreprise ;
- l’application des mises à jour de sécurité sur tous les équipements connectés (PC, tablettes, téléphones…), notamment de l’antivirus professionnel ;
- le renforcement de la sécurité des mots de passe : l’utilisateur doit veiller à utiliser des mots de passe suffisamment longs, complexes et différents sur tous les équipements et services auxquels il accède, qu’ils soient personnels ou professionnels, et ne les communiquer sous aucun prétexte. Rappelons que la majorité des attaques est due à des mots de passe trop simples ou réutilisés ;
- la sécurisation de la connexion WIFI par mot de passe et chiffrement WPA2, essentielle pour éviter toute intrusion sur le réseau personnel, qui pourrait être utilisée pour attaquer l’entreprise ;
- le principe de vigilance à adopter à l’égard de tous messages inattendus : il est essentiel de rappeler de ne jamais cliquer sur un lien web ou ouvrir une pièce jointe émanant d’un émetteur inconnu ou inhabituel (que ce soit par email, SMS, chat…) et de toujours demander confirmation à l’émetteur par un autre moyen. Il peut s’agir d’une attaque par hameçonnage visant à dérober des informations confidentielles (mots de passe), de l’envoi d’un virus par pièce jointe, d’un lien qui attirerait l’utilisateur sur un site piégé, ou encore d’une tentative d’arnaque aux faux ordres de virement.
Si la charte informatique ou la politique de sécurité opposable au sein de l’entreprise traite déjà de ces règles, il est tout de même recommandé de les rappeler en centralisant l’usage et les risques qui en découlent du fait de la généralisation du travail à distance.
De nombreuses entreprises ont généralisé le télétravail, mais toutes ne couvrent pas 100% de leur personnel avec des outils de type authentification forte, réseau privé virtuel pour travailler sur les données de l’entreprise au lieu de les rapatrier sur l’ordinateur personnel. Ce qui peut ouvrir la porte aux pirates.
Afin d’accroître la sécurité du système d’information et limiter les risques d’intrusion, il est utile de rappeler les mesures, aussi bien techniques qu’organisationnelles, que peuvent mettre en place les entreprises.
Ces aspects sont d’autant plus importants lorsque les traitements concernent des données personnelles.
- Lorsque cela est possible, équiper les collaborateurs de matériel informatique à vocation uniquement professionnelle, afin de séparer les usages.
- Mettre en place un réseau privé virtuel (« VPN »), permettant d’établir une interconnexion entre des ordinateurs distants et d’assurer la sécurité des transferts de données. Ce VPN pourra utilement être accessible par une double authentification (mot de passe + téléphone par exemple) afin de se prémunir contre toute usurpation.
- Se doter d’une solution antivirale professionnelle.
- S’assurer de l’effectivité des sauvegardes des activités et des données de l’entreprise.
Sur ces aspects techniques, il convient de se reporter au Guide de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) sur le nomadisme numérique du 17 octobre 2018 ², qui apporte un éclairage utile sur l’adaptation de la sécurité d’une infrastructure informatique aux particularités du nomadisme.
- Mettre en œuvre une charte informatique efficace afin, notamment, de sensibiliser les salariés sur les risques liés à la sécurité du système d’information, les informer sur leurs droits et obligations dans le cadre de l’utilisation du système d’information et de sanctionner les éventuels abus grâce au caractère disciplinaire conféré au document, annexé au règlement intérieur de l’entreprise.
- Mettre en place une politique de mot de passe et de mise à jour de sécurité strictes, laquelle peut, le cas échéant, être intégrée dans la charte informatique.
- Réfléchir à l’opportunité de souscrire à une assurance cyber risques, permettant d’assurer l’entreprise en cas de cyberattaques.
Ces mesures doivent être mises en œuvre en complément des mesures prises dans le cadre la protection des données personnelles.
Malgré les mesures mises en œuvre pour prévenir les risques, l’actualité démontre qu’aucune organisation, quelle que soit sa taille, n’est à l’abri d’une cyberattaque. L’évaluation des hypothèses d’attaques possibles (hameçonnage, rançongiciel, vol de données, faux ordres de virement…) permet de définir la conduite à tenir pour réagir au cas où elle surviendrait.
L’entreprise victime d’une cyberattaque aura ainsi tout intérêt à :
- mettre en œuvre des mesures conservatoires destinées à limiter l’impact de la faille de sécurité (mise en quarantaine des postes concernés par l’incident, coupure des accès réseaux, réalisation de sauvegardes, etc.) ;
- contacter son cyber assureur, le cas échéant, ou toute autre entreprise spécialisée pour restaurer son système d’information si elle ne dispose pas des moyens internes pour le faire (après avoir au préalable pensé à souscrire une assurance cyber risques adaptée à son activité) ;
- lancer une campagne de communication pour rassurer les clients et les fournisseurs, en insistant sur le dysfonctionnement informatique et non sur l’attaque en elle-même ;
- procéder à la notification de la faille de sécurité à la CNIL dans un délai de 72h à compter de la violation et compléter son registre interne des violations des données, conformément aux obligations incombant à chaque entreprise dans le cadre de sa conformité à la réglementation relative à la protection des données personnelles.
Compte tenu des délais courts pour réagir, avoir préparé en amont la gestion d’une éventuelle faille est primordial.
Notre équipe Contrats – Concurrence – Propriété Intellectuelle se tient à votre disposition pour toute question en matière de sécurité informatique, et en particulier pour vous accompagner dans la mise en œuvre d’une politique en matière de sécurité de vos systèmes d’information et de protection de vos données personnelles.
¹ : https://www.cybermalveillance.gouv.fr/tous-nos-contenus/actualites/recommandations-securite-informatique-teletravail
² : https://www.ssi.gouv.fr/guide/recommandations-sur-le-nomadisme-numerique/