Et vous, quelle est votre politique en matière de cyber-sécurité ?

Espionnage, vol de données sensibles chiffrées, fraude, malveillance… Les motifs des cyber-attaques sont de plus en plus nombreux et leurs cibles le sont tout autant. Selon une étude du Cabinet d’expertise-comptable PwC, les entreprises françaises ont ainsi vu leurs pertes financières liées aux cyber-attaques augmenter de 50% pendant l’année 2017.
Or, beaucoup de nos clients pensent encore à tort qu’ils ne sont pas la cible des pirates. Méfiez-vous ! Gardez en tête que toute information est précieuse – surtout dans le secteur des start-up où l’innovation est de mise – et a une valeur pour quelqu’un. Les meilleurs logiciels de sécurité sont inutiles si les utilisateurs et les entreprises ne prennent pas de bonnes mesures pour se cyber-sécuriser utilement. Comment se protéger face à cette nouvelle forme de criminalité ? Exentys vous livre ci-après quelques bonnes pratiques à effectuer.

Se protéger, sensibiliser et responsabiliser ses collaborateurs :

Le facteur humain doit enfin désormais faire partie intégrante de la cyber-sécurité et il faut nommer un responsable de la sécurité du Système d’Information pour piloter la démarche, définir les orientations, élaborer et mettre en œuvre une politique de sécurité. Les pirates tirent parti de toutes les vulnérabilités techniques mais aussi des imprudences humaines. Il faut impliquer et responsabiliser vos salariés dans les mécanismes de cyber-prévention. Trop de gens se font encore piéger par des campagnes de phishing en cliquant sur n’importe quel courrier électronique en pensant que le courrier vient d’une source légitime. Tout salarié doit connaître les risques encourus par la société et lui-même. Il doit avoir conscience de la sécurité de l’information et, à cet effet, se munir d’anti-virus et d’anti-spam – obligatoirement être mis à jour via des sites officiels et sécurisés (via une connexion https://) – et disposer de pare-feux actifs pour refuser toutes les connexions entrantes. Concernant les échanges de données sensibles, il faut mettre en place un chiffrage des documents confidentiels voire une identification à double facteurs.

– Souscrire une cyber-assurance :

Vous devez définir la typologie des risques assurables et analyser les offres disponibles et analyser la couverture des dommages immatériels, préjudices, etc.

– Anticiper les vols ou pertes :

Faites à cet effet un inventaire de tous vos actifs afin de voir quelles ressources sont exposées et quelle est leur vulnérabilité potentielle. L’entreprise victime d’un piratage, l’est souvent par le biais d’un ordinateur, d’une boîte mail ou d’un site web leur appartenant et dont on ignorait l’existence ! Il faut aussi disposer d’une sauvegarde hors ligne pour éviter qu’elle soit aussi cryptée lors de l’éventuelle attaque.

– Se défendre :

Adoptez une méthodologie de traitement du risque au jour de l’attaque, par exemple débrancher l’ordinateur du réseau, ne plus utiliser l’équipement une fois corrompu, porter plainte, ne pas payer la rançon demandée, etc. Enfin, vous devez faire intervenir des structures d’assistance aux victimes de cyberattaques : ACYMA, CERT, Cybermalveillance, Stopansomware.

– Respecter le RGPD :

Désigner un responsable des questions personnelles. La CNIL encourage fortement cette désignation. Sachez qu’il peut être mutualisé ou externe.
Cartographiez les traitements de données personnelles existants ! Il faut en évaluer les pratiques, identifier les risques, arrêter un plan d’action, prioriser et hiérarchiser les actions à mener. Les sous-traitants doivent connaître leurs nouvelles obligations et leurs responsabilités, s’assurer de l’existence de clauses contractuelles (modèles de clauses sur le site de la CNIL) telles que la sécurité, la confidentialité et la protection des données. Pour gérer les risques, nous vous recommandons l’outil PIA (Privacy Impact Assessment) de la CNIL qui vise à accompagner la conduite d’analyse d’impact.
Il faut organiser les processus internes et traiter les réclamations et les demandes des personnes concernées en définissant les acteurs et les modalités. Documenter pour prouver la conformité au RGPD en cas de contrôle notamment les contrats qui définissent les rôles et responsabilités des acteurs, notamment dans les contrats avec les sous-traitants.

– Adopter des bonnes pratiques manageriales :

Instaurez une classification des données de l’entreprise et identifiez les données stratégiques qui pourraient être particulièrement convoitées par les pirates. Il faut adopter de bonnes habitudes de travail en organisant des réunions d’information pour alerter les collaborateurs sur les nouveaux types de menaces, renforcer les procédures internes et mettre en place des restrictions d’accès, superviser, auditer, corriger et procéder à des tests d’intrusion pour tester la vigilance des collaborateurs et c’est seulement au prix de tous ces efforts que vous serez cyber-sécurisé.

Laisser un commentaire

Top
Tweetez
Partagez