Les cyberattaques sont de plus en plus complexes avec des conséquences souvent catastrophiques pour les entreprises : atteinte à l’image, paralysie des infrastructures, pertes d’exploitation
Les entreprises prennent progressivement conscience de ce risque stratégique, mais beaucoup d’entre elles sont encore insuffisamment protégées.
Selon une étude de PWC, 4.165 cyberattaques ont été détectées en France en 2017 pour un montant moyen de pertes financières estimé à 1,5 million d’euros
1/ Les motivations des cyber attaquants
Déstabilisation afin de nuire à l’image de l’entreprise
Prise de contrôle du système d’information, divulgation de données, défiguration de site
Espionnage afin de capter de l’information stratégique
Conduit par des groupes structurés, il est en principe discret et l’entreprise peut s’en rendre compte tardivement.
2/ La cyber criminalité
Le « rançongiciel » ou « ransomware » introduit sur l’ordinateur ou le serveur de la victime un logiciel malveillant qui prend en otage les données personnelles en les chiffrant et demande de l’argent en échange du mot de passe de déchiffrement.
Le « hameçonnage » ou « phishing » ou « filoutage » consiste à demander via un courriel d’apparence légitime, les coordonnées bancaires ou les identifiants de connexion à des services financiers, afin de dérober de l’argent…
3/ Huit règles pour limiter les risques d’attaque informatique
- Choisir des mots de passe complexes
- Mettre à jour régulièrement logiciels et système
- Effectuer des sauvegardes fréquentes
- Se méfier du WI-FI, en particulier dans les lieux publics tels que : aéroports, hôtels, restaurant …
- Séparer compte “utilisateur” et compte “administrateur”
- Ne pas mélanger personnel et professionnel : ne pas utiliser de clés USB ou disques durs externes personnels sur un terminal professionnel et inversement
- Ne jamais ouvrir les mails douteux
- Naviguer sur des sites officiels : privilégier la saisie de l’adresse du site dans la barre d’adresse du navigateur
4/ l’évolution de la législation – Le RGPD
Afin de « redonner aux citoyens le contrôle de leurs données personnelles, tout en simplifiant l’environnement réglementaire des entreprises » le législateur a décidé de renforcer le cadre légal avec l’introduction dans le droit français du Règlement Général pour la Protection des Données (RGPD). Les entreprises auront à compter du 25 mai 2018 prochain l’obligation, en cas de violation des données personnelles dont elles disposent, c’est-à-dire en cas de piratage de leur système informatique, l’obligation d’informer par LRAR chaque personne / entreprise concernée ainsi qu’à l’autorité de tutelle :
- L’obligation de notification des violations de données personnelles à l’autorité de contrôle
L’obligation de notification à l’autorité de contrôle d’une violation de données à caractère personnel est introduite par l’article 33 du RGPD.
En vertu de cet article, le responsable du traitement doit notifier toute violation de données à caractère personnel à l’autorité de contrôle compétente dans les meilleurs délais, et si possible, 72 heures au plus tard après en avoir pris connaissance. Lorsque la notification à l’autorité de contrôle n’a pas lieu dans ce délai, il convient de l’informer des motifs du retard. En France, l’autorité de contrôle compétente est la Cnil.
Lorsqu’un responsable du traitement constate une violation des données à caractère personnel qu’il traite, il est tenu d’informer l’autorité de contrôle de :
- la nature de la violation de données à caractère personnel y compris, si possible, des catégories et du nombre approximatif de personnes concernées par la violation et des catégories et du nombre approximatif d’enregistrements de données à caractère personnel concernés ;
- du nom et des coordonnées du délégué à la protection des données (DPO), ou de tout contact auprès duquel des informations supplémentaires peuvent être obtenues ;
- des conséquences probables de la violation de données à caractère personnel ;
- des mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.
S’il n’est pas possible de fournir toutes ces informations en même temps, elles peuvent l’être par étapes, dans un délai raisonnable.
De plus, le responsable du traitement doit documenter toute violation des données à caractère personnel, en décrivant les faits et les mesures qui ont été prises afin de permettre à la Cnil de vérifier qu’il a bien respecté son obligation de notification.
- Le devoir de communication aux personnes concernées
L’obligation de notification des violations de données personnelles aux personnes concernées est introduite par l’article 34 du RGPD.
Conformément à cet article, le responsable du traitement doit informer la personne concernée de toute violation de ses données à caractère personnel lorsque celle-ci est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique.
La communication à la personne concernée doit être claire et simple, et contenir les informations suivantes :
- le nom et des coordonnées du délégué à la protection des données (DPO), ou de tout contact auprès duquel des informations supplémentaires peuvent être obtenues ;
- les conséquences probables de la violation de données à caractère personnel ;
- les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.
- Définition des données personnelles
Les données personnelles étaient bien sûr déjà définies dans la Loi de 1978 « Informatique et Libertés » comme « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à plusieurs éléments qui lui sont propres ».
La loi précise que pour déterminer si une personne est identifiable, il faut tenir compte de tous les moyens envisageables pour permettre son identification, tous ceux auxquels peut avoir accès le responsable du traitement ou toute autre personne.
Le Règlement précise que pour cela, il suffit de pouvoir être identifié, directement ou indirectement, notamment par référence à un identifiant :
- Un nom,
- Un numéro d’identification,
- Des données de localisation,
- Un identifiant en ligne,
- Ou un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
5/ L’assurance des cyber-risques
Les garanties des cyber-risques proposées par la plupart des compagnies d’assurance protègent les entreprises contre la cybercriminalité, et ses conséquences potentiellement très lourdes. Les garanties s’articulent comme suit :
- La gestion des actions d’urgence et la prise en charge des frais engendrés par celles-ci :
- Frais de notification aux particuliers et à la CNIL évoqués ci-dessus ;
- Frais de restauration des données ;
- Frais de restauration de l’image de l’entreprise et de sa réputation
- Frais de surveillance et de monitoring en cas de détection d’une intrusion malveillante.
Les compagnies d’assurances s’appuient pour la mise en œuvre de ces prestations sur des prestataires informatiques spécialisés et sur des prestataires en communication spécialisés dans la gestion de crise.
- La garantie des dommages subis par l’Assuré:
- Cyber-extorsion : frais de gestion de menace d’extorsion et prise en charge de la rançon lorsqu’aucune autre solution n’est envisageable.
- Frais de défense dans le cadre d’une enquête administrative, et coût des sanctions pécuniaires assurables prononcées par une autorité administrative.
- La perte d’exploitation consécutive à une atteinte aux données ou à la sécurité informatique de l’entreprise.
- La garantie responsabilité civile:
Prise en charge des conséquences pécuniaires de la mise en cause de la responsabilité civile de l’entreprise, lorsqu’elle subit une réclamation en conséquence d’une atteinte aux données ou à la sécurité informatique de l’entreprise.