MORGENSTERN ET ASSOCIES SAS

7 rue du Chevalier de Saint George 75008 PARIS

Page 1

NOTE D’INFORMATION n° 2018.03 du 22 mars 2018

Protection des données et cyber sécurité

Le développement exponentiel des fraudes a été rendu possible par l’incontournable digitalisation de

notre économie, qui offre une toute nouvelle panoplie d’outils à la disposition des escrocs. La

révolution numérique (Cloud, mobilité, réseaux sociaux, big data…) bouleverse notre quotidien et

notre façon de travailler. Mais en emportant avec lui ses outils le salarié redéfinit les contours d’un

système d’information qui devient d’autant plus difficile à délimiter et donc à sécuriser.

La fragilité des PME et TPE, bien moins équipées et protégées que les grandes entreprises, attire de

plus en plus les cybercriminels. Dans cette optique le dirigeant doit anticiper les risques et sensibiliser

les collaborateurs afin de prévenir, détecter et éviter ces menaces.

Voici les 10 mesures à étudier et à mettre en place :

1/ confidentialité : il faut dans ce cadre :

- Sécuriser les échanges de données sensibles

- Disposer de mots de passe robustes : caractères diversifiés, renouvellement régulier, pas de

stockage

- Ne pas divulguer d’informations sensibles et rester vigilant

- Maitriser sa e-réputation

2/ souscrire un contrat de cyber assurance : pour ce faire il faut

- Définir la typologie des risques assurables : données personnelles, système d’information de

l’assuré, données des tiers

- Analyser les offres disponibles : couverture des dommages immatériels, préjudices, frais de

communication de crise, prise en charge de la gestion de crise et de la restauration des

données, responsabilité civile

- Répertorier les propositions de valeur de l’assuré : évaluation, quantification, réduction et

transfert des risques, expertise post-incident

3/ anticiper la perte ou le vol :

- Avoir une stratégie rigoureuse de sauvegarde (journalière/par semaine ou mensuelle)

- Ne pas laisser les sauvegardes dans les locaux de l’entreprise

- Avoir conscience des avantages et inconvénients des supports

- Prendre des précautions dans l’utilisation des supports

4/ se munir de boucliers :

- Se munir d’antivirus et d’anti spam régulièrement à jour et actif, inspecter le contenu des clés

USB et fichiers téléchargés

MORGENSTERN ET ASSOCIES SAS

7 rue du Chevalier de Saint George 75008 PARIS

Page 2

- Vérifier que les systèmes sont régulièrement à jour : éviter les systèmes obsolètes et les

versions logicielles anciennes, révoquer les droits des collaborateurs en cas de départ de

l’entreprise, etc…

- Disposer de pare-feux actifs

5/ réagir aux cyberattaques :

- Adopter une méthodologie de traitement du risque au jour de l’attaque : débrancher

l’ordinateur du réseau, ne plus utiliser l’équipement corrompu, porter plainte, ne pas payer la

rançon, procéder à une analyse complète par l’antivirus, lancer la récupération des données,

prévoir des plans de secours…

- Contacter les structures d’assistance aux victimes de cyberattaques : ACYMA, CERT,

Cybermalveillance, Stopransomware.

https://www.ssi.gouv.fr/agence/cybersecurite/ssi-en-france/les-cert-francais/

https://www.cybermalveillance.gouv.fr/

6/ respecter le RGPD

Toutes les entreprises sont concernées par le RGDP mais seulement 9 % de celle-ci se déclarent

prêtes.

- Désigner un responsable des questions personnelles

- Cartographier les traitements de vos données personnelles existantes au sein de votre

entreprise

- Prioriser et hiérarchiser les actions à mener

- Gérer les risques

- Organiser les processus internes

- Se documenter pour prouver en cas de contrôle la conformité au RGPD

7/ Se méfier des clés USB (et de tous supports externes)

- Adopter des mesures préventives : ne jamais utiliser une clé USB « abandonnée », avant toute

utilisation scanner et nettoyer la clé USB, bloquer la fonction « Autorun », affecter une clé par

usage, chiffrer le contenu de vos clés USB.

- Préparer vos déplacements à l’étranger : n’emporter que les données indispensables pour la

mission, marquer les clés et toujours les garder sur soi, les jeter après usage.

8/ adopter de bonnes pratiques managériales

- Instaurer une classification des données de l’entreprise

- Adopter de bonnes habitudes de travail

- Renforcer les procédures internes : restrictions d’accès, gestions des départs des

collaborateurs, procédures en cas de modifications des RIB fournisseurs.

MORGENSTERN ET ASSOCIES SAS

7 rue du Chevalier de Saint George 75008 PARIS

Page 3

- Superviser, auditer et corriger : tests d’intrusion, plan de reprise et de continuité d’activité.

9/ Règlementer les usages

- Encadrer les pratiques par l’utilisation d’une charte informatique

- Fixer les règles et consignes que doivent respecter les utilisateurs

- La rendre opposable aux salaries soit en annexant au contrat de travail des salariés soit en

formalisant l’acceptation individuelle par chacun des salaries ou en lui donnant une valeur de

règlement intérieur

10/ Sensibiliser les collaborateurs

- Sensibiliser les collaborateurs

- Nommer un responsable de la sécurité de système d’information pour piloter la démarche et

coordonner les différentes actions à mener

- Impliquer et responsabiliser les usages dans les mécanismes de cyber prévention : informer,

sensibiliser, former, motiver.

- Etre interactif et passer d’une pédagogie « passive » à une pédagogie « active »

Voici quelques sites pour tester vos réflexes en matière de sécurité informatique et vous préparez au

règlement européen sur la protection des données :

https://www.cnil.fr/fr/comprendre-vos-obligations/les-principes-cles

https://www.cnil.fr/fr/comprendre-le-reglement-europeen

https://www.ssi.gouv.fr/