Protéger son entreprise face aux cyber-risques : les conseils de l’ACSEL
« Risques cyber : saurez-vous sauver votre entreprise ? » Tel était le thème d’une conférence organisée par l’Association de l’économie numérique (ACSEL), le 17 mars dernier. Morceaux choisis.
C’est un sujet dont on parlait encore peu en 2019 et dont il est question quasi quotidiennement aujourd’hui. L’explosion de la cybercriminalité et la vulnérabilité des entreprises face à ces attaques sont devenues une préoccupation majeure, à laquelle les dirigeants d’entreprise ne sont pas toujours très sensibles, jusqu’au jour où… Tous les professionnels de la cybersécurité s’accordent ainsi à dire que la question n’est pas de savoir si cela va arriver, mais quand cela va arriver. Or, le récent développement du télétravail a joué un rôle moteur dans l’augmentation de ces risques. On observe depuis « une explosion des cyberattaques, dans tous les secteurs, acteurs privés et publics », a pointé l’avocat Éric Barbry, au cours d’un webinaire organisé par la commission juridique de l’Association de l’économie numérique (ACSEL).
Sensibiliser et imposer des procédures de contrôle
La fraude au président ou au faux RIB est une des arnaques classiques utilisées par les cybercriminels. Elle consiste à se faire passer pour un des dirigeants de l’entreprise ou pour un employé de la banque de l’entreprise, par exemple, afin d’obtenir un virement sur un compte ou des identifiants bancaires. Que faire pour s’en prévenir ? L’entreprise peut notamment mettre en place, pour tous les transferts bancaires supérieurs à un certain montant, « un protocole impliquant une double signature, dont celle du président », a expliqué Jean-Philippe Gaulier, expert en sécurité des systèmes d’information et directeur général de Cyberzen. Il faut également « sensibiliser » à ce type de risques toutes les personnes en charge de missions comptables et financières au sein de l’entreprise.
Améliorer la sécurité de son système d’information
Pour se protéger contre le vol (par des collaborateurs) ou le piratage (par des cybercriminels) d’informations sensibles pour l’entreprise, il convient de mettre en place des « contrôles d’accès à ces données avec authentification forte », ainsi que « des journaux – ou logs – pour enregistrer l’historique » de l’activité au sein du réseau informatique, a poursuivi Jean-Philippe Gaulier. Surtout, « pas de fichiers Excell pour gérer les clients et les prospects, il faut utiliser un logiciel maîtrisé par l’entreprise ».
Pour mieux se protéger contre les rançongiciels, il faut « mettre en place une politique de mots de passe et utiliser un coffre-fort de mots de passe », et « ne pas utiliser de RDP [Remote Desktop Protocol, protocole utilisé pour l’administration à distance de systèmes Windows] sur Internet, parce que c’est par là que la moitié des pirates entrent, utilisez un VPN », a-t-il conseillé. « Faites des sauvegardes off line, parce que les pirates vont chiffrer les sauvegardes on line, et vous perdez tout ». Et « faites de la réplication de fichiers », pour avoir plusieurs exemplaires sur différents supports.
Prévenir les risques juridiques
Le Règlement général sur la protection des données (RGPD) impose, par ailleurs, aux professionnels l’obligation de signaler les violations de sécurité qui provoque la destruction, la perte, l’altération ou la divulgation de données à caractère personnel. Sur le plan juridique, on peut alors « passer du statut de victime au statut de coupable », a relevé l’avocat Éric Barbry. Dans la mesure où le RGPD « exige un certain niveau de sécurité informatique », la question est alors « est-ce que vous avez fait ce qu’il fallait faire ? » Il convient aussi de ne pas se rendre « coupable de ne pas avoir notifié la violation de sécurité dans les 72 heures », comme l’exige la loi. Laquelle impose aussi l’obligation d’informer les personnes concernées si le risque est élevé, notamment, s’il s’agit de données sensibles, telles que des données de santé ou bancaires. Or, « prévenir ses clients, c’est triple peine quand on est en train d’essayer de sauver son entreprise ». Qui plus est, « ces personnes peuvent engager une action collective auprès de la Cnil pour non-respect du RGPD », et ce alors que les montants des sanctions prononcées par l’autorité de contrôle sont de plus en plus importants.
Il va ainsi « falloir apporter la preuve du dommage, du préjudice et des mesures prises », « faire les démarches auprès de la Cnil, ainsi qu’auprès de certains régulateurs, tels que l’ANSSI [Agence nationale de la sécurité des systèmes d’information], en fonction de son secteur d’activité », et « porter plainte » – au commissariat, via la plateforme Pharos ou auprès du procureur de la République. Et il faut, par ailleurs, penser à « engager la responsabilité des tiers car, la plupart du temps, la fraude vient d’un prestataire ou d’un partenaire commercial qui s’est fait pirater son système informatique ».