La protection des données informatiques en entreprise

Une étude récente du cabinet PricewaterhouseCoopers (PWC) remonte une progression spectaculaire des attaques informatiques contre les entreprises en France : plus 51% en un an.

La progression des attaques contre les entreprises

21 attaques par jour en moyenne et des pertes financières atteignant 3,7 millions d’euros par entreprise, mettant en péril la pérennité de celle-ci. En 2014, une entreprise du  Calvados s’est fait pirater son système de messagerie, perdant fichiers, répertoires et évoquant au moment du procès un risque de liquidation judiciaire…

Si les pirates redoublent d’ingéniosité pour s’introduire dans les systèmes informatiques, il s’avère que plus d’un tiers des failles de sécurité sont liées… aux employés de la compagnie attaquée ! Ouverture de pièce jointe corrompue, message de phishing, envoi de données sensibles à des destinataires incorrects, publication de données sensibles sur des serveurs web publics…

Les cyber-risques sont donc devenus une préoccupation majeure pour les comités exécutifs, à en croire une autre étude de PwC. Une inquiétude légitime compte tenu du fait que 62% des entreprises françaises ont déjà subi au moins une tentative de fraude (fraude au virement du président, test bancaire). Et tous les secteurs de l’économie sont concernés, de l’industriel au tertiaire : vol d’informations confidentielles sur un process industriel, contrats de négociation en cours,  informations récupérées par un concurrent lors d’un appel d’offres, récupération de données de santé sensibles, vol de données confidentielles de clients (cabinet d’avocats…). En effet, chaque professionnel dispose d’informations critiques, spécifiquement à des moments cruciaux de la vie de l’entreprise : fusion, acquisition, négociation de contrats…

Pour limiter les risques, quelles sont les bonnes pratiques à mettre en place ? Car si les professionnels de l’informatique (risk managers, DSI …) ont bien conscience de l’enjeu, c’est bien l’ensemble des salariés de l’entreprise qui doit être sensibilisé, à commencer par le comité de direction qui doit donner l’impulsion.

Mobilité, terminaux connectés au cœur du process de sécurisation de l’entreprise

Le comportement en mobilité et l’exploitation du « multi-devices » (ordinateur, mobile, tablette) peuvent favoriser les facteurs de risque :

–    oubli de document officiel dans un taxi,

–    utilisation d’un téléphone sur un réseau wifi public non sécurisé,

–    vol de téléphone professionnel dans un lieu public,

–    connexion à un serveur depuis un ordinateur non protégé,  

–    envoi de message critique via des emails non sécurisés …

Le phénomène est inévitable mais doit toutefois être encadré pour éviter les risques.

Sensibiliser le comité de direction et les employés

Organisez des réunions d’informations sur les bonnes pratiques et mettez en place un protocole de sécurisation : vol de mots de passe, téléphone, accès au réseau de l’entreprise depuis l’extérieur… Et ce afin de réduire les risques. C’est bien la direction qui doit montrer l’exemple au travers notamment de la protection de documents confidentiels, ou encore d’informations sensibles. Un document, comme une Charte de Sécurité Informatique, peut regrouper un certain nombre de bonnes pratiques. Vous pouvez même aller plus loin en intégrant une clause spécifique dans le contrat de travail de l’ensemble des salariés.

Héberger et protéger les données sensibles de l’entreprise

• Contrôlez l’accès aux serveurs et installez un système de sauvegarde

Définissez qui a le droit d’accéder à certaines informations et mettez en place des systèmes de sauvegardes afin de garantir la sécurité et l’accessibilité des données qui sont stockées. Plusieurs hébergeurs (infrastructures, messagerie), comme Openhost, proposent d’ailleurs un système de double authentification et de réplication de serveurs afin de maximiser la sécurité du stockage.

• Mettez en place une politique de gestion de mots de passe

Les mots de passe sont bien souvent très mal gérés : communs, configurés par défaut… Optez pour un système d’authentification forte (double authentification via application, sms ou appel) pour sécuriser les accès ou la validation de certaines actions importantes.

•Sécurisez la messagerie professionnelle de la structure

Des moyens simples existent pour débuter la sécurisation de votre système informatique et cela commence par la messagerie professionnelle. Faites le choix d’utiliser une adresse mail sécurisée pour envoyer des informations, optez pour la signature de vos emails et le chiffrement des messages (protocole S/MIME pour la messagerie hébergée Exchange). Vous signez ainsi numériquement vos mails et les chiffrez. Via ce protocole, la personne qui reçoit votre email sait que le message reçu est bien celui envoyé par l’expéditeur, et que celui-ci est bien celui qu’il prétend être !  Faites attention à l’usage de Gmail dans le cadre professionnel puisque Google réalise des scans automatiques des messages et des comptes pour la publicité.

•Développez des accords de non-divulgation en externe

Chaque acteur de la chaîne de sous-traitance (fournisseur, hébergeur …) doit s’engager à des accords de non-divulgation. Des contrats doivent être rédigés avec les prestataires techniques dont le non-respect peut être sanctionné par des clauses pénales.