Jamais les menaces informatiques n’ont été aussi nombreuses. Comment les entreprises peuvent-elles optimiser leur protection ? Les réponses de Xavier Domecq, dirigeant, cabinet de conseil ID-Logism, spécialisé en conformité RGPD et sécurité.
Les entreprises sont-elles réellement au fait des cyber-risques auxquels elles peuvent être confrontées ?
La prise de conscience est lente. Les organisations considèrent souvent, à tort, que cela n’arrive qu’aux autres. Je pense, en particulier, aux PME qui pensent ne représenter aucun enjeu pour les cybercriminels parce qu’elles ne font pas partie des entreprises les plus connues. Or, c’est plutôt l’inverse qui est vrai, car elles sont souvent moins bien armées pour se défendre que les grosses structures. Et cela, les hackers le savent pertinemment. Il ne faut pas oublier qu’en matière de cyber-attaques, on parle bien désormais de criminalité extrêmement bien organisée. Pour les pirates, les PME sont donc des cibles de choix.
Les nouveaux usages, comme le travail à distance, augmentent-ils ces risques ?
Les nouveaux usages liés à l’ouverture des systèmes d’information multiplient les enjeux en termes de sécurité. Désormais, les accès au SI peuvent être ouverts à tout l’écosystème d’une entreprise (partenaires, fournisseurs, clients…). Un ensemble auquel il faut ajouter, les collaborateurs en mobilité et en télétravail. Cela entraîne une multiplication des brèches potentielles. C’est pourquoi, il est vivement conseillé à un collaborateur de se connecter via les outils fournis par son entreprise et non personnels, ces derniers n’intégrant pas toutes les solutions de sécurité permettant de protéger l’entreprise. L’arrivée du Cloud a également changé la donne au sein de l’entreprise offrant la possibilité à tous d’accéder à des moyens de communication, de stockage ou logiciels métiers sans en référer à sa direction informatique. Ce type de pratiques fait courir un risque important de fuite de données car de nombreuses actions sont menées en dehors du périmètre de sécurité mis en place par l’entreprise. Les données peuvent être hébergées à l’autre bout du monde où le cadre juridique n’est pas aussi protecteur des données qu’en Europe. Globalement les nouveaux usages mobiles nécessitent une sécurisation adaptée. Le PC doit impérativement être chiffré et incorporer des mesures d’authentification fortes. Sinon, on s’expose à un ensemble de risques. Nous recommandons également à nos clients d’incorporer dans leur charte de télétravail un ensemble de bonnes pratiques concernant l’utilisation du PC à domicile.
Plus généralement, quelle méthodologie déploie ID-Logism ?
Dès que nous nous rendons chez un nouveau client, nous établissons un diagnostic. Ce dernier inclut les volets légaux et de sécurité. Dans toutes les missions que nous effectuons en tant que DPO, un binôme, composé d’un expert juridique doté d’une certification DPO reconnue par la CNIL et d’un expert sécurité, est à la tâche. Nous avons créé un questionnaire très détaillé qui reprend toutes exigences des normes de sécurité ISO de référence et le RGPD. A partir de là, nous allons être en capacité d’émettre des recommandations à partir d’une vision des besoins client déployée à 360°. Nous ne nous contentons pas de préconisations dans le domaine technique. Nous déployons également notre expertise dans le domaine opérationnel et organisationnel, avec, par exemple, l’organisation de réseau de référents RGPD, la création d’un poste dédié à la sécurité, le renforcement de la sensibilisation des collaborateurs aux besoins de sécurité, tout comme la mise en place de clauses contractuelles de protection en partenariat avec le service juridique ou encore la rédaction de procédures opérationnelles pour guider les collaborateurs dans leur démarche de protection des données
Comment sensibiliser les PME à ces enjeux dans la mesure où, vous le soulignez, elles sous-estiment souvent les dangers encourus ?
Avec le RGPD, c’est la première fois qu’une réglementation pose la sécurité des données personnelles comme une obligation légale. L’article 32 a la grande vertu de poser en exigence la mise en œuvre des moyens de sécurité conformément à l’état de l’art et proportionné au niveau de risque. De fait, en protégeant les données personnelles, on protège une grande partie de son système d’information. Ce point facilite la prise en compte par les dirigeants des enjeux de sécurité devenus des enjeux réglementaires.
La crainte des sanctions en cas de non-respect du règlement, peut-elle jouer un rôle dissuasif ?
Depuis plusieurs années, plus de la moitié des sanctions de la CNIL concernent des questions de sécurité. Les sanctions ont une valeur d’exemplarité. Nous nous en servons pour alerter nos clients en décortiquant les sanctions et en comparant les pratiques en cause avec leurs propres pratiques. Cela nous permet de pousser une organisation à changer telle ou telle manière d’opérer comme par exemple conserver des données indéfiniment, avoir une politique de mots de passe trop faible, une gestion des accès aux données trop permissive ou encore des sites internet aux URL pas suffisamment sécurisées
La sensibilisation à ces sujets est tout ce qu’apporte un cabinet de conseil. Avant de parler de l’outillage, il est nécessaire de mettre en place un ensemble de bonnes pratiques en fonction des référentiels émis pour la Cnil et l’ANSSI (Agence nationale de la sécurité des systèmes d’information) afin de limiter les risques. Notre rôle est donc à la fois pédagogique et d’aide à la mise en œuvre de mesures opérationnelles avec, derrière, des choix de solutions technologiques.
