Cabinet d'Avocats de droit des affaires

EN

Covid-19 : Télétravail et sécurité informatique, nécessité pour les entreprises d’anticiper les cyber menaces

31 mars 2020 // propriété intellectuelle et sécurité informatique

Covid-19 : Télétravail et sécurité informatique, nécessité pour les entreprises d’anticiper les cyber menaces

Valoriser la propriété intellectuelle de votre entreprise et protéger vos données en France et à l’international
Publiée le 31 mars 2020
31 mars 2020 - À l’heure où de nombreuses entreprises françaises ont recours au télétravail, des groupes spécialisés en piratage de données en profitent pour multiplier les attaques aux systèmes d’informations des entreprises. Face à cette menace invisible, il est primordial que les entreprises et leurs collaborateurs adoptent les bonnes pratiques pour anticiper les risques et réagir efficacement en cas de faille de sécurité. À ce sujet, le site web cybermalveillance.gouv.fr a publié le 23 mars 2020 une synthèse des recommandations, à destination notamment des professionnels, pour faire face à ces risques ¹.

Sensibiliser les salariés pour prévenir les risques liés à la sécurité informatique

La préservation du système d’information est l’affaire de tous ! Il est donc primordial que les collaborateurs de l’entreprise soient sensibilisés sur les risques liés à la sécurité informatique. 

À cet effet, il est indispensable que l’employeur formule à l’ensemble de ses collaborateurs des recommandations très précises et concrètes à suivre dans le cadre de l’utilisation à distance des ressources et services du système d’information de l’entreprise, parfois en complément des mesures internes déjà en place.

Les recommandations publiées sur le site cybermalveillance.gouv.fr insistent notamment sur :

- la séparation des usages personnels et professionnels : réserver les outils professionnels à la réalisation de l’activité professionnelle, de manière responsable et vigilante, et réserver les moyens personnels aux activités personnelles pour éviter toute faille de sécurité préjudiciable pour l’entreprise ;

- l’application des mises à jour de sécurité sur tous les équipements connectés (PC, tablettes, téléphones…), notamment de l’antivirus professionnel ;

- le renforcement de la sécurité des mots de passe : l’utilisateur doit veiller à utiliser des mots de passe suffisamment longs, complexes et différents sur tous les équipements et services auxquels il accède, qu’ils soient personnels ou professionnels, et ne les communiquer sous aucun prétexte. Rappelons que la majorité des attaques est due à des mots de passe trop simples ou réutilisés ;

- la sécurisation de la connexion WIFI par mot de passe et chiffrement WPA2, essentielle pour éviter toute intrusion sur le réseau personnel, qui pourrait être utilisée pour attaquer l’entreprise ;

- le principe de vigilance à adopter à l’égard de tous messages inattendus : il est essentiel de rappeler de ne jamais cliquer sur un lien web ou ouvrir une pièce jointe émanant d’un émetteur inconnu ou inhabituel (que ce soit par email, SMS, chat…) et de toujours demander confirmation à l’émetteur par un autre moyen. Il peut s’agir d’une attaque par hameçonnage visant à dérober des informations confidentielles (mots de passe), de l’envoi d’un virus par pièce jointe, d’un lien qui attirerait l’utilisateur sur un site piégé, ou encore d’une tentative d’arnaque aux faux ordres de virement.

Si la charte informatique ou la politique de sécurité opposable au sein de l’entreprise traite déjà de ces règles, il est tout de même recommandé de les rappeler en centralisant l’usage et les risques qui en découlent du fait de la généralisation du travail à distance.

 

Mettre en œuvre des mesures concrètes et efficaces pour anticiper les risques liés à la sécurité informatique

De nombreuses entreprises ont généralisé le télétravail, mais toutes ne couvrent pas 100% de leur personnel avec des outils de type authentification forte, réseau privé virtuel pour travailler sur les données de l’entreprise au lieu de les rapatrier sur l’ordinateur personnel.  Ce qui peut ouvrir la porte aux pirates.

Afin d’accroître la sécurité du système d’information et limiter les risques d’intrusion, il est utile de rappeler les mesures, aussi bien techniques qu’organisationnelles, que peuvent mettre en place les entreprises.

Ces aspects sont d’autant plus importants lorsque les traitements concernent des données personnelles.

Mesures techniques destinées à renforcer la sécurité du système d’information

- Lorsque cela est possible, équiper les collaborateurs de matériel informatique à vocation uniquement professionnelle, afin de séparer les usages.

- Mettre en place un réseau privé virtuel (« VPN »), permettant d’établir une interconnexion entre des ordinateurs distants et d’assurer la sécurité des transferts de données. Ce VPN pourra utilement être accessible par une double authentification (mot de passe + téléphone par exemple) afin de se prémunir contre toute usurpation.

- Se doter d’une solution antivirale professionnelle.

- S’assurer de l’effectivité des sauvegardes des activités et des données de l’entreprise.

Sur ces aspects techniques, il convient de se reporter au Guide de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) sur le nomadisme numérique du 17 octobre 2018 ², qui apporte un éclairage utile sur l’adaptation de la sécurité d’une infrastructure informatique aux particularités du nomadisme.

Mesures organisationnelles destinées à sensibiliser les collaborateurs et anticiper les risques

- Mettre en œuvre une charte informatique efficace afin, notamment, de sensibiliser les salariés sur les risques liés à la sécurité du système d’information, les informer sur leurs droits et obligations dans le cadre de l’utilisation du système d’information et de sanctionner les éventuels abus  grâce au caractère disciplinaire conféré au document, annexé au règlement intérieur de l’entreprise.

- Mettre en place une politique de mot de passe et de mise à jour de sécurité strictes, laquelle peut, le cas échéant, être intégrée dans la charte informatique.

- Réfléchir à l’opportunité de souscrire à une assurance cyber risques, permettant d’assurer l’entreprise en cas de cyberattaques.

Ces mesures doivent être mises en œuvre en complément des mesures prises dans le cadre la protection des données personnelles.

 

Réagir rapidement et efficacement en cas de faille de sécurité

Malgré les mesures mises en œuvre pour prévenir les risques, l’actualité démontre qu’aucune organisation, quelle que soit sa taille, n’est à l’abri d’une cyberattaque. L’évaluation des hypothèses d’attaques possibles (hameçonnage, rançongiciel, vol de données, faux ordres de virement…) permet de définir la conduite à tenir pour réagir au cas où elle surviendrait.

L’entreprise victime d’une cyberattaque aura ainsi tout intérêt à :

- mettre en œuvre des mesures conservatoires destinées à limiter l’impact de la faille de sécurité (mise en quarantaine des postes concernés par l’incident, coupure des accès réseaux, réalisation de sauvegardes, etc.) ;

- contacter son cyber assureur, le cas échéant, ou toute autre entreprise spécialisée pour restaurer son système d’information si elle ne dispose pas des moyens internes pour le faire (après avoir au préalable pensé à souscrire une assurance cyber risques adaptée à son activité) ;

- lancer une campagne de communication pour rassurer les clients et les fournisseurs, en insistant sur le dysfonctionnement informatique et non sur l’attaque en elle-même ;

- procéder à la notification de la faille de sécurité à la CNIL dans un délai de 72h à compter de la violation et compléter son registre interne des violations des données, conformément aux obligations incombant à chaque entreprise dans le cadre de sa conformité à la réglementation relative à la protection des données personnelles.

Compte tenu des délais courts pour réagir, avoir préparé en amont la gestion d’une éventuelle faille est primordial.

 

Notre équipe Contrats – Concurrence – Propriété Intellectuelle se tient à votre disposition pour toute question en matière de sécurité informatique, et en particulier pour vous accompagner dans la mise en œuvre d’une politique en matière de sécurité de vos systèmes d’information et de protection de vos données personnelles.

¹ : https://www.cybermalveillance.gouv.fr/tous-nos-contenus/actualites/recommandations-securite-informatique-teletravail

² : https://www.ssi.gouv.fr/guide/recommandations-sur-le-nomadisme-numerique/

Actualités en rapport

Formation gratuite : Les données de santé, levier pour l'innovation : exploitation, partage & prise en compte des évolutions technologiques

Publiée le 18 avril 2024
Les données de santé, collectées à partir de sources toujours plus diverses et bénéficiant de capacités d’analyse améliorées, représentent un atout précieux pour l’innovation dans le domaine de la santé. Un webinaire pour tout comprendre !
Lire la suite

Le Digital Market Act (DMA) va prochainement produire ses effets…. et certaines surprises sont à anticiper

Publiée le 28 février 2024
Le Digital Market Act (DMA) du 14 septembre 2022 est une initiative majeure de l'Union européenne visant à réguler le marché numérique. À partir du 7 mars, il imposera des règles strictes aux grandes plateformes numériques, désignées comme "gatekeepers", telles qu'Apple, Amazon, Meta, Alphabet-Google, Byte Dance, et Microsoft.
Lire la suite

REVIREMENT DE JURISPRUDENCE : UNE PREUVE OBTENUE PAR UN PROCÉDÉ DÉLOYAL N’EST PAS SYSTÉMATIQUEMENT ÉCARTÉE DES DÉBATS

Publiée le 13 février 2024
La Cour de cassation fait triompher le droit à la preuve sur la loyauté de la preuve en admettant que, devant le juge civil, une partie puisse utiliser, sous conditions, une preuve obtenue de manière déloyale. Elle opère ainsi un important revirement de jurisprudence.  Arrêt du 22 décembre 2023 (Ass. Plén., 22 déc. 2023, n° 20-20.648)
Lire la suite
Voir toutes actualites
PreviousNext

Nous contacter

Vous souhaitez plus d’informations sur LAMY LEXEL ? Prendre un RDV ? Aidez-nous à vous apporter la meilleure réponse en remplissant ce formulaire. Nous nous engageons à vous répondre dans les plus brefs délais.

Les données personnelles collectées dans le présent formulaire et traitées par la société LAMY LEXEL Avocats Associés sont nécessaires aux fins de traiter et de suivre votre demande de contact, notamment pour une prise de rendez-vous, pour vous adresser nos newsletters ou vous inviter aux événements que nous pouvons organiser. Ces données ne sont destinées qu’aux services compétents de LAMY LEXEL intervenant dans le cadre du traitement de cette demande. Vous disposez des droits d’en demander l’accès, la rectification, l’effacement, une limitation ou opposition au traitement, la portabilité de ses données ou d’introduire une réclamation ou des directives post mortem en contactant le service dédié à l’adresse suivante contactrgpd@lamy-lexel.com

INSCRIVEZ-VOUS A NOS NEWSLETTERS SUR L'ACTUALITÉ JURIDIQUE
NOUS SUIVRE

À PROPOS DE NOUS

LAMY LEXEL Avocats Associés est un cabinet d’avocats d’affaires indépendant, mettant une combinaison d’expertises au service de la réalisation des projets de développement des entreprises françaises et internationales (start-ups, PME/PMI, ETI, groupe de sociétés), notamment :

corporate, bourse, finance, fiscalité, patrimoine, social, contrat, concurrence, propriété intellectuelle, international, contentieux, restructuring…

Porté par un fort esprit d’innovation et d’entrepreneuriat, nos équipes allient excellence technique et expérience du terrain, permettant :

  • d’adapter les solutions juridiques aux enjeux des sociétés et de leurs secteurs d’activité

  • d’investiguer de nouveaux champs du droit pour être en capacité d’anticiper les évolutions

  • de réunir des partenaires fiables aux métiers complémentaires pour une réponse complète

  • d’enrichir les connaissances et pratiques de chacun à travers la Communauté LAMY LEXEL.

LAMY LEXEL met aussi la RSE au cœur de ses projets d’entreprises, en s’engageant auprès de son écosystème local, qu’il soit économique, environnemental ou solidaire.

 

RESTER EN CONTACT

Bureaux PARIS

+33 1 55 27 24 00

5 rue de Rome – 75008 Paris

Bureaux LYON

+33 4 72 74 53 00

Immeuble La Passerelle - 25 rue Bossuet - 69453 Lyon Cedex 06