note d’information n° 2018.03 du 22 mars 2018 protection ... 2018.03.pdf · système...
TRANSCRIPT
MORGENSTERN ET ASSOCIES SAS
7 rue du Chevalier de Saint George 75008 PARIS
Page 1
NOTE D’INFORMATION n° 2018.03 du 22 mars 2018
Protection des données et cyber sécurité
Le développement exponentiel des fraudes a été rendu possible par l’incontournable digitalisation de
notre économie, qui offre une toute nouvelle panoplie d’outils à la disposition des escrocs. La
révolution numérique (Cloud, mobilité, réseaux sociaux, big data…) bouleverse notre quotidien et
notre façon de travailler. Mais en emportant avec lui ses outils le salarié redéfinit les contours d’un
système d’information qui devient d’autant plus difficile à délimiter et donc à sécuriser.
La fragilité des PME et TPE, bien moins équipées et protégées que les grandes entreprises, attire de
plus en plus les cybercriminels. Dans cette optique le dirigeant doit anticiper les risques et sensibiliser
les collaborateurs afin de prévenir, détecter et éviter ces menaces.
Voici les 10 mesures à étudier et à mettre en place :
1/ confidentialité : il faut dans ce cadre :
- Sécuriser les échanges de données sensibles
- Disposer de mots de passe robustes : caractères diversifiés, renouvellement régulier, pas de
stockage
- Ne pas divulguer d’informations sensibles et rester vigilant
- Maitriser sa e-réputation
2/ souscrire un contrat de cyber assurance : pour ce faire il faut
- Définir la typologie des risques assurables : données personnelles, système d’information de
l’assuré, données des tiers
- Analyser les offres disponibles : couverture des dommages immatériels, préjudices, frais de
communication de crise, prise en charge de la gestion de crise et de la restauration des
données, responsabilité civile
- Répertorier les propositions de valeur de l’assuré : évaluation, quantification, réduction et
transfert des risques, expertise post-incident
3/ anticiper la perte ou le vol :
- Avoir une stratégie rigoureuse de sauvegarde (journalière/par semaine ou mensuelle)
- Ne pas laisser les sauvegardes dans les locaux de l’entreprise
- Avoir conscience des avantages et inconvénients des supports
- Prendre des précautions dans l’utilisation des supports
4/ se munir de boucliers :
- Se munir d’antivirus et d’anti spam régulièrement à jour et actif, inspecter le contenu des clés
USB et fichiers téléchargés
MORGENSTERN ET ASSOCIES SAS
7 rue du Chevalier de Saint George 75008 PARIS
Page 2
- Vérifier que les systèmes sont régulièrement à jour : éviter les systèmes obsolètes et les
versions logicielles anciennes, révoquer les droits des collaborateurs en cas de départ de
l’entreprise, etc…
- Disposer de pare-feux actifs
5/ réagir aux cyberattaques :
- Adopter une méthodologie de traitement du risque au jour de l’attaque : débrancher
l’ordinateur du réseau, ne plus utiliser l’équipement corrompu, porter plainte, ne pas payer la
rançon, procéder à une analyse complète par l’antivirus, lancer la récupération des données,
prévoir des plans de secours…
- Contacter les structures d’assistance aux victimes de cyberattaques : ACYMA, CERT,
Cybermalveillance, Stopransomware.
https://www.ssi.gouv.fr/agence/cybersecurite/ssi-en-france/les-cert-francais/
https://www.cybermalveillance.gouv.fr/
6/ respecter le RGPD
Toutes les entreprises sont concernées par le RGDP mais seulement 9 % de celle-ci se déclarent
prêtes.
- Désigner un responsable des questions personnelles
- Cartographier les traitements de vos données personnelles existantes au sein de votre
entreprise
- Prioriser et hiérarchiser les actions à mener
- Gérer les risques
- Organiser les processus internes
- Se documenter pour prouver en cas de contrôle la conformité au RGPD
7/ Se méfier des clés USB (et de tous supports externes)
- Adopter des mesures préventives : ne jamais utiliser une clé USB « abandonnée », avant toute
utilisation scanner et nettoyer la clé USB, bloquer la fonction « Autorun », affecter une clé par
usage, chiffrer le contenu de vos clés USB.
- Préparer vos déplacements à l’étranger : n’emporter que les données indispensables pour la
mission, marquer les clés et toujours les garder sur soi, les jeter après usage.
8/ adopter de bonnes pratiques managériales
- Instaurer une classification des données de l’entreprise
- Adopter de bonnes habitudes de travail
- Renforcer les procédures internes : restrictions d’accès, gestions des départs des
collaborateurs, procédures en cas de modifications des RIB fournisseurs.
MORGENSTERN ET ASSOCIES SAS
7 rue du Chevalier de Saint George 75008 PARIS
Page 3
- Superviser, auditer et corriger : tests d’intrusion, plan de reprise et de continuité d’activité.
9/ Règlementer les usages
- Encadrer les pratiques par l’utilisation d’une charte informatique
- Fixer les règles et consignes que doivent respecter les utilisateurs
- La rendre opposable aux salaries soit en annexant au contrat de travail des salariés soit en
formalisant l’acceptation individuelle par chacun des salaries ou en lui donnant une valeur de
règlement intérieur
10/ Sensibiliser les collaborateurs
- Sensibiliser les collaborateurs
- Nommer un responsable de la sécurité de système d’information pour piloter la démarche et
coordonner les différentes actions à mener
- Impliquer et responsabiliser les usages dans les mécanismes de cyber prévention : informer,
sensibiliser, former, motiver.
- Etre interactif et passer d’une pédagogie « passive » à une pédagogie « active »
Voici quelques sites pour tester vos réflexes en matière de sécurité informatique et vous préparez au
règlement européen sur la protection des données :
https://www.cnil.fr/fr/comprendre-vos-obligations/les-principes-cles
https://www.cnil.fr/fr/comprendre-le-reglement-europeen
https://www.ssi.gouv.fr/