La cybersécurité, une responsabilité collective

Dans le cadre de son accompagnement à la démarche RGPD sur la protection des données personnelles et la sécurité des systèmes d'information dans nos établissements, l'Urogec Île-de-France rapporte la mésaventure d'un salarié d'Ogec et rappelle la nécessaire responsabilisation des acteurs par des moyens simples.

Depuis l’entrée en vigueur le 25 mai dernier du règlement européen sur la protection des données personnelles (RGPD) qui vise à actualiser les fondamentaux de la Loi Informatique & Liberté de 1978 aux nouveaux enjeux du numérique, le sujet de la sécurité informatique est devenu une préoccupation majeure, tant les mauvaises expériences personnelles ou professionnelles se multiplient.

La prise de conscience d'une vulnérabilité

Plusieurs indicateurs chiffrés le confirment.

Selon une étude PwC, deux tiers des entreprises considèrent que le risque de cybermenaces n’est pas important et une seule entreprise française sur 5 s’estime capable de gérer une cyberattaque.

D’après un rapport d’État de la menace liée au numérique en 2018, 80% des entreprises ont constaté au moins une cyberattaque en 2017.

Et 10% des entreprises ayant été attaquées subissent un préjudice moyen supérieur à 100 000 €, indique un baromètre sur la fraude d’Euler Hermes et de la DFCG (Association Nationale des Directeurs Financiers et de Contrôle de Gestion).

Des intimidations de plus en plus sophistiquées

En outre, l'économe d’un établissement de notre réseau nous a rapporté le récit d’un piège bien ficelé dont il a failli être victime.

À la rentrée, il trouve un mail en anglais, dans ses courriers indésirables, l’informant que son PC a été piraté et exigeant 900 dollars pour que ses données personnelles ne soient pas diffusées. D'un naturel prudent, il soupçonne bien évidemment une arnaque sauf que le message fait référence à un mot de passe connu de lui seul. Après enquête, il s'avère qu'il l’avait défini pour un compte sur un site marchand en 2016.

Il ignore malgré tout le message, ainsi que les rappels faisant état d'une ristourne à 300 dollars. Or, le dernier message qui menace de diffuser de soi-disantes images compromettantes à tout son carnet d’adresses provient de sa propre messagerie. Le pirate donne donc l'impression d'agir de l’intérieur !

Quelles actions mener en cas de soupçons ?

Sans céder à la pression de ce chantage qui crée néanmoins un trouble par la vraisemblance de la menace, l'économe prend plusieurs mesures avec l’aide de l’informaticien de l’établissement : analyse du PC par plusieurs anti-virus et de la tablette de consultation des mails à distance, changement de mot de passe de messagerie, suppression d’Internet Explorer comme navigateur par défaut, signalement à la Cnil, information auprès des contacts les plus sollicités, ajout d’un préfixe en objet pour authentifier l’auteur des messages.

Des réflexes simples et basiques

Un incident de sécurité dans nos établissements peut avoir de lourdes conséquences, financières ou réputationnelles.

C’est pourquoi la cybersécurité n’est pas seulement une réponse technique mais une mobilisation au quotidien de tous les acteurs qui passe par un changement de comportements sur plusieurs facteurs déterminants.

Dans un kit de sensibilisation mis en place par le gouvernement sur une plateforme de référence, www.cybermalveillance.gouv.fr, plusieurs sujets prioritaires sont abordés :

• Le nomadisme de vos appareils mobiles, ultraconnectés et porteurs de données sensibles : que se passerait-il si vous perdiez votre smartphone et ce qu'il contient ?
• Le risque d’hameçonnage (en anglais phishing) ou le vol de données personnelles : comment se prémunir des pièges ?
• La vulnérabilité des mots de passe : comment renforcer leur complexité sans risquer de les oublier ?
• Les passerelles entre usage professionnel et personnel des outils informatiques : quels sont les risques de la convergence ?

En lien avec votre DSI, votre informaticien ou votre référent RGPD, il est intéressant de prendre connaissance, par temps calme, des conseils de prudence et des dispositifs de déclaration d'incidents.