Comprenez que la sécurité est l’affaire de tous
Les notifications de violation de données à la CNIL ont augmenté de 24 % en 2020, et de 79 % en 2021 ! La sécurité de vos données n’a jamais été aussi importante.
Dès lors, vous devez absolument identifier les principales failles de sécurité dans votre structure : vos données risquent-elles d’être volées ? Détruites ? Réutilisées sans autorisation ? Revendues pour une utilisation commerciale frauduleuse ?
Pour y voir plus clair, examinons les principaux risques que vous devrez identifier au sein de votre entreprise :
Type de risque | Description | Exemple |
Vol de données | Un transfert de données succédant à un accès non autorisé de données | L’ordinateur de la directrice commerciale a été volé alors qu’elle attendait un train pour Lyon, avec à l’intérieur notre stratégie commerciale et nos futurs prospects. |
Fuite de données | Toute divulgation non autorisée de données | Un développeur a laissé des données personnelles d’utilisateurs de votre application dans un fichier ouvert, directement accessible par n’importe qui sur Internet. |
Modification non autorisée des données | Toute modification non autorisée de données | Une personne non autorisée parvient à s’introduire sur vos serveurs, et modifie les données relatives aux utilisateurs de votre application ; néanmoins aucun profil n’est supprimé. |
Destruction non autorisée des données | La suppression des données en dehors du cadre prévu | Un de vos administrateurs a supprimé malencontreusement un fichier contenant des adresses e-mail de clients. |
Concrètement, que faire pour éviter ces risques ?
Identifiez la faille de sécurité : vous devez rapidement repérer la raison de la fuite de données, l’origine du problème.
Mettez-y un terme le plus rapidement possible.
Identifiez les données qui ont fuité : y a-t-il des données personnelles ? Des données stratégiques de votre entreprise ? S’agit-il seulement de données publiques ?
Prenez les mesures adéquates pour éviter qu’un tel problème recommence.
En cas de présence de données à caractère personnel, vous aurez même d’autres mesures à prendre, qui dépendront du degré de risque pour les personnes :
Pour les personnes concernées, la violation engendre… Ce que vous devez faire : | … aucun risque | … un risque faible | … un risque élevé |
Documentation interne dans le « registre des violations » | X | X | X |
Notification à la CNIL dans un délai maximal de 72 h |
| X | X |
Information des personnes concernées dans les meilleurs délais, hors cas particuliers |
|
| X |
Instaurez une culture interne de la sécurité
Former, former, former ! La culture de la sécurité en entreprise est la meilleure parade contre les failles. Les collaborateurs doivent être sensibilisés à l’importance qu’ils ont pour la sécurité informatique de l’entreprise. Voyons ensemble les étapes nécessaires à l'instauration d'une culture de la sécurité en interne.
La première étape est d’identifier les mauvaises pratiques qui peuvent exposer l’entreprise. Cette étape nécessite de déterminer les pratiques dites cachées, comme la copie sur son disque dur local privé d’informations personnelles, l’utilisation d’un document partagé ouvert à tous, ou encore l’utilisation d’outils autres que ceux de l’entreprise.
Les bons moments pour déceler ces mauvaises pratiques sont lors de votre audit de sécurité, de « l’audit RGPD », ou lors de tout recensement des traitements de données. Lorsque vous auditez vos services, amenez les personnes à parler de leur quotidien, à décrire leurs habitudes de travail plutôt que d’essayer de voir directement ce qui ne va pas. Ne culpabilisez pas vos salariés : l’idée est de s’améliorer et de mieux faire les choses, pas de sanctionner.
La deuxième étape est de déterminer les menaces fréquentes en cybersécurité. Plus précisément, celles susceptibles de constituer un risque affectant votre entreprise et vos clients.
Ainsi, l’ANSSI comme la CNIL mettent en garde contre les logiciels malveillants, qui sont des programmes développés pour attaquer et nuire à une application ou un système informatique. Voici les principales menaces :
Le « rançongiciel » est un logiciel malveillant qui chiffre les données et exige une rançon pour pouvoir les déchiffrer ;
L'attaque DDoS est une attaque très fréquente qui vise à gravement déstabiliser votre SI ;
Le hameçonnage (ou « phishing »), très utilisé dans le milieu bancaire, cherche à vous faire dévoiler les éléments de sécurité qui permettent de pénétrer dans un système protégé (vos codes de comptes bancaires, par exemple) ;
Le risque humain de perte est toujours présent, et peut prendre différentes formes (perte de document, négligence sur la confidentialité d’informations secrètes dans un lieu public, par exemple).
La troisième étape est d’identifier les mesures de base compréhensibles et accessibles à chacun. Cela doit passer par une vulgarisation des éléments de sécurité, notamment lors de séances de formation et de sensibilisation. L’ANSSI propose dix règles de base en matière de sécurité informatique, c’est très utile !
Identifiez les principales mesures accessibles à tous
L’objectif pour l’entreprise est de faire en sorte que la question « sécurité » soit prise en compte par tous. Parmi les mesures simples, la CNIL a répertorié dans ses guidelines un ensemble de mesures spécifiques aux entreprises, et notamment aux TPE/PME.
Mots de passe
D’abord, la sécurisation des mots de passe. Vous pouvez tenter de limiter leur réutilisation d’un service à l’autre ou, plus aisé en entreprise, refuser des mots de passe trop simples. L’ANSSI recommande un minimum de 9 caractères pour les services peu critiques et 14 pour les services critiques ; il devra aussi comporter des capitales, des minuscules, des chiffres et des caractères spéciaux.
Allez, voyons si vous avez suivi : trouvez le bon mot de passe dans cette liste.
1234abcd
0000
MesNomEtPrénom
p0c3?kE9+e42R:m
1
Thomas04091989
Facile, non ? (On vous donne la bonne réponse à la fin du chapitre !)
Verrouillage du poste
Ensuite, n’oubliez pas le verrouillage du poste et la limitation des supports externes. La négligence est un immense enjeu de sécurité pour les SI des entreprises. Vous pouvez dès lors mettre en place un verrouillage automatique après un temps réduit. De la même manière, vous pouvez également mettre en œuvre des vérifications sur les téléchargements.
Quid des mises à jour régulières ? 🤓
Elles visent surtout à récupérer les correctifs de sécurité des éditeurs. Cette mise à jour devrait être automatisée pour faciliter le travail de vos collaborateurs. N’oubliez pas de mettre à jour vos systèmes et vos applications !
Délimitez vie privée et vie professionnelle
Enfin, il vous faudra rappeler la délimitation entre les éléments concernant la vie privée et la vie professionnelle. Une charte de bonnes pratiques des outils informatiques vous permettra de rappeler ces éléments, et de prévoir une procédure en cas de problème.
Pour rappel, la loi vous autorise à contrôler l’utilisation des outils informatiques ; néanmoins vos salariés doivent être informés des règles.
Ah, au fait : le bon mot de passe était : p0c3?kE9+e42R:m !
En résumé
La sécurité, ce n’est pas le problème de la direction ou de la DSI : c’est l’affaire de tous, chacun à son niveau !
Instaurer une culture de la donnée et de la sécurité en interne est essentiel, et vous permettra de limiter considérablement vos risques.
Formations, séances de sensibilisation, diffusion de documents, fausses attaques informatique, etc. Les moyens sont nombreux pour développer cette culture.
Nous avons longuement parlé de la sécurité technique et organisationnelle, mais la sécurité est aussi juridique : on va voir ça dans le chapitre suivant !
