Cyberattaques et RGPD
Quel est le rapport entre le RGPD et la prévention d’une cyberattaque ?
La mise en conformité RGPD permet aux entreprises de réaliser un audit exhaustif sur tous les sujets qui touchent aux données personnelles et à toutes les données de façon générale.
Elle permet de répondre à l’obligation légale en cas de contrôle de la CNIL, mais également de rassurer les clients et sous-traitants concernant la protection des données qu’ils traitent pour leur compte, mais surtout de prévenir les failles informatiques afin d’éviter un piratage de leur système.
Mise en conformité RGPD
Depuis le 25 mai 2018 et l’entrée en vigueur du RGPD (Règlement Général sur la Protection des Données), chaque entreprise, association, organisme réalisant une collecte ou un traitement de données personnelles doit se mettre en conformité avec ledit règlement.
Les entreprises ont deux raisons majeures de se mettre en conformité RGPD
La première leur permet de répondre à l’obligation légale en cas de contrôle de la CNIL mais également pouvoir rassurer leurs clients et sous-traitants sur le fait qu’ils ont mis en place une stratégie efficace concernant la protection des données qu’ils traitent pour le compte desdits clients et sous-traitants.
La deuxième est de leur permettre d’évaluer et prévenir leurs failles informatiques afin d’éviter une cyberattaque en prenant les mesures techniques adéquates.
En 2020 une augmentation de 255% des cyberattaques a été relevée par rapport à 2019 (ANSSI). Elles touchent de plus en plus les TPE et PME, leurs systèmes étant souvent perfectibles. A ce jour, n’importe quelle entreprise qui est victime d’une cyberattaque est immédiatement paralysée. Les rançons réclamées par les hackers sont en moyenne de 20 000 €.
En quoi consiste la mise en conformité RGPD ?
Plusieurs actions précises doivent être réalisées, à commencer par la mise en place des « Registres des activités de traitements », ils sont la base, le socle. Il s’agit de mettre en application les préconisations juridiques et techniques de la CNIL.
Pour chaque ensemble d’opérations traitant des données personnelles, différents registres doivent être réalisés (clients, sous-traitants, salariés, site internet, géolocalisation, vidéosurveillance, badges, etc…). Ces registres consistent à cartographier les activités principales de l’entreprise qui nécessitent la collecte et le traitement de données.
La mise en conformité RGPD permet de protéger les données personnelles des entreprises contre une perte, un vol ou un piratage de ses données.
Qu’apporte aux entreprises la mise en conformité RGPD ?
L’actualité témoigne d’un nombre en forte hausse d’attaques informatiques dues aux failles de sécurité. Ces dernières peuvent avoir des conséquences désastreuses sur l’activité des entreprises.
La réalisation des « Registres des activités de traitements », permet d’évaluer tous les risques liés à la protection des données personnelles de façon exhaustive. Ce sont également les Registres qui doivent être présentés à la CNIL en cas de contrôle.
Ce sont les « Registres des activités de traitements » qui permettent de se prémunir contre les risques de pertes de données ou de piratage à condition qu’un certain nombre d’actions soient mises en place de façon précise.
Chaque salarié doit se référer aux « Registres des activités de traitements » afin de prendre connaissance des mesures de préventions mises en place pour assurer la protection desdites données.
Charte informatique et sensibilisation des collaborateurs
La sensibilisation des employés à la sécurité informatique de leur poste peut leur éviter d’être vulnérables face à une attaque, un problème de sécurité ou une perte/vol de leur matériel. Il est donc conseillé de rédiger une charte informatique et lui donner une force contraignante.
Cette charte doit comporter un certain nombre d’éléments comme le rappel des règles de protection des données et les sanctions encourues en cas de non-respect de celles-ci.
La charte informatique tient compte des ressources informatiques, des services internet, des messagerie et téléphonie, ainsi que tout autre moyen de connexion à distance.
Le cadre règlementaire de la sécurité de l‘information est complexe et peut générer des failles de sécurité si les membres du personnel ne respectent pas les règles juridiques qui doivent être appliquées.
Elle définit ce que chaque collaborateur peut faire ou ne pas faire.
Exemples de failles
Les failles potentielles sont nombreuses et non exhaustives, elles peuvent provenir d’outils de stockage amovibles (clefs USB, CD, disques durs externes, serveurs externes, cloud, qui présentent des risques importants d’infections par des programmes malveillants entrainant un risque de perte de données.
Il faut tenir compte des risques liés aux modalités d’utilisation des moyens informatiques mis à disposition comme, les postes de travail, les équipements nomades (notamment dans le cadre du télétravail), les espaces de stockages individuels, les réseaux locaux, l’Internet, la messagerie électronique, la téléphonie.
Mais la faille principale reste de loin l’ERREUR HUMAINE puisque dans environ 80% des cas les logiciels malveillants ou malwares pénètrent un système suite à l’action d’un collaborateur de l’entreprise. Comme le disent la plupart des spécialistes informatiques, "La plus grosse faille dans la sécurité se trouve souvent entre la chaise et le clavier d’un PC".
Les hackers redoublent d’imagination et mettent en place des pièges de plus en plus sophistiqués.
Techniques de piratages
Les ordinateurs contiennent des données personnelles qui peuvent être convoitées par une tierce personne mal intentionnée. En cas de cyberattaque, il est important de se protéger contre une utilisation frauduleuse desdites données.
Différentes techniques sont employées contre les TPE et PME.
Une entreprise peut être piégée par une technique appelée hameçonnage (phishing en anglais) qui est une technique frauduleuse destinée à leurrer les collaborateurs et le dirigeant d’une société pour les inciter à communiquer des données personnelles (comptes d'accès, mots de passe…) et/ou bancaires en se faisant passer pour un tiers de confiance.
Une entreprise peut également être victime d’un rançongiciel. Il s’agit d’un logiciel rançonneur, logiciel de rançon ou logiciel d'extorsion, nous parlons d’un logiciel malveillant qui prend en otage les données personnelles.
Comment se concrétise une cyberattaque ?
Une cyberattaque peut se concrétiser de différentes façons. Il peut s’agir d’un mail reçu d’un client ou d’un sous-traitant qui a mal sécurisé son système et dont la boite mail a été piratée. Une fois la boite mail piratée, le hacker a la faculté d’envoyer des mails cohérents à tous les contacts qui ont été récupérés.
Le mail que reçoit l’entreprise ciblée peut faire état d’un remboursement qui lui est destiné, il peut s’agir d’une facture ou de tous documents qui ne vont pas attirer l’attention de celui qui réceptionne le mail. Le document peut être un fichier corrompu en format WORD, EXCEL, PDF, un dossier zippé qui est inséré en pièce jointe.
Il peut également s’agir de liens infectés directement insérés dans le corps du mail pointant vers un site internet, un lien de remboursement, de téléchargement, etc.
Comme cela a déjà été expliqué auparavant, la plus grosse faille qui va permettre d’aboutir à la réussite d’une cyberattaque provient du dirigeant lui-même ou d’un collaborateur.
Que se passe-t-il ensuite ?
L’entreprise qui se fait piéger par un logiciel malveillant va constater un chiffrement des ressources clés qui rendra inaccessible tout le réseau informatique de la structure dont toutes les données sont cryptées et inutilisables. L’infection entraine dans la plupart des cas une inactivité complète de la société qui est victime d’un ransomware type CryptoLocker.
En principe dans la plupart des cas un message s’affiche sur l’écran pour demander une rançon (souvent en Bitcoins) qui est en général de plus ou moins 20000 € pour une petite structure. Le montant varie en fonction de la taille et de la capacité financière de l’entreprise. Le risque est une perte définitive des données.
Faut-il payer ?
Bien entendu il ne faut pas payer même si les entreprises françaises sont prêtes à payer dans 32% des cas (source silicon.fr). Le pourcentage d’entreprises ayant payé une rançon n’est pas connu en France mais une moyenne européenne indique qu’environ 40% se seraient exécutées. Ces structures indiquant qu’elles préfèrent payer sont celles qui n’ont pas d’autre choix pour espérer récupérer leurs données, sachant que leur système informatique est mal protégé, voire pas du tout.
Ce qu’il faut retenir
Une mise en conformité RGPD permet aux entreprises de réaliser un audit exhaustif sur tous les sujets qui touchent aux données personnelles et à toutes les données de façon générale.
- Répondre à l’obligation légale en cas de contrôle de la CNIL
- Rassurer les clients et sous-traitants concernant la protection des données qu’ils traitent pour leur compte.
- Prévenir les failles informatiques afin d’éviter une cyberattaque.
Bon à savoir :
La question suivante est souvent posée : est-ce que mon informaticien peut me mettre en conformité ?
La réponse est : absolument pas car une mise en conformité permet d’aborder tous les thèmes en cartographiant les activités de l’entreprise, y compris l’insertion des clauses RGPD comme les CGV, la politique de confidentialité CGU, les mentions légales, les avenants aux contrats de travail, les clauses de sous-traitance, badges, vidéosurveillance, géolocalisation, charte informatique, etc.
Lorsqu’il est fait mention de protection des données, il faut traiter de la même façon les données sur support papier. Ainsi une mise en conformité RGPD dépasse largement le cadre de la mission informatique.
Ce n’est qu’à l’issue de l’audit RGPD qu’il est judicieux de solliciter l’informaticien en charge de la maintenance de tout le système, de cette façon il interviendra une seule fois de façon globale.
