Cybercriminalité : les bons réflexes à adopter pour se protéger

Article écrit par (47 articles)
Publié le
Modifié le 19/09/2016
2 813 lectures

Dans un contexte où le digital devient incontournable, les entreprises sont de plus en plus exposées à ce que l'on nomme la cybercriminalité.

De la simple introduction de virus au vol de données contre demande de rançon, en passant par l'usurpation d'identité (phishing), le piratage des systèmes d'information et de communication représente, pour les entreprises, une menace sérieuse et peut avoir un impact lourd, aussi bien en terme de coût qu'en terme d'image, pour vous, comme pour vos clients. Le dirigeant d'une entreprise est responsable juridiquement de ses réseaux et de ses données et encourt jusqu'à cinq ans de prison et 300 000¤ d'amende, en cas de défaut de sécurisation.

Il existe pourtant des moyens efficaces pour protéger ses données et se prémunir des cyberattaques. À commencer souvent par de simples règles de bon sens.

Petite check-list des bons réflexes à adopter d'urgence.

 

Sensibiliser ses collaborateurs aux risques

Les études sont formelles : 30 % des violations de données sont dues à la négligence des employés (vols, pertes d'appareils mobiles, erreurs...)1 et les incidents provoqués par les collaborateurs ont augmenté de 10 % en 2014 par rapport à 2013 2.

Il est donc essentiel de former les personnels aux risques et aux bonnes pratiques :

  • politique de gestion des identifiants et mots de passe,
  • diffusion des données de l'entreprise sur des réseaux non sécurisés,
  • signalement immédiat de la perte ou du vol d'un matériel appartenant à l'entreprise,
  • politique de chiffrement des données de l'entreprise accédées en mode nomade (terminaux mobiles, clés USB, etc.).

 

Mettre en place une vraie politique de sécurité de son système d'information

Pour sécuriser ses données, il est d'abord essentiel de bien connaître son infrastructure, et donc de la cartographier, en prenant en considération toutes les plateformes techniques (Mac, Linux...) et périphériques (tablettes, smartphones notamment), mais aussi les solutions externalisées (dans le Cloud ou non).

L'ensemble des serveurs et réseaux doivent être surveillés en permanence et les sous-traitants éventuels doivent pouvoir vous préciser les modalités qu'ils mettent en place. Trop souvent, les attaques prennent des proportions dramatiques, parce qu'elles sont détectées tardivement (173,5 jours en moyenne après le début du piratage 1).

 

Prévoir un plan de secours

Malgré toutes les précautions, le risque zéro n'existe pas. Il faut savoir anticiper les différents scénarii catastrophes possibles et prévoir un plan B avec des spécialistes, pour éviter la perte irrémédiable de données et assurer la continuité de l'activité.

De la même façon, il est important de préparer un plan de communication de crise, afin d'amortir les effets négatifs en cas d'attaque.

 

S'assurer

Quand on sait que le piratage informatique peut faire autant, voire plus, de torts à un cabinet qu'un sinistre grave, il semble indispensable d'étudier la possibilité de recourir à une assurance pour ces risques spécifiques.

En plus de prendre en charge les dommages causés par une cyberattaque et les frais engendrés (pertes de revenu subies par l'assuré, frais de gestion de crise/e-réputation, négociations avec les pirates en cas d'extorsion...), les assurances intègrent une dimension préventive (prise en charge d'un audit, établissement de recommandations d'amélioration des systèmes de sécurité...), bien utile pour rester toujours à niveau et anticiper les évolutions des techniques de hacking.

 

Que faire en cas de sinistre ?

En cas de piratage informatique, il est recommandé de se rapprocher, avant toute autre action, de la police ou de la gendarmerie, qui sauront vous guider sur les démarches à mener.

Dès constatation de l'infraction, il faut cesser d'utiliser l'équipement qui a été corrompu, pour éviter d'effacer des preuves à durée de vie limitée utiles à l'enquête.

À Paris et en petite couronne, la brigade d'enquêtes sur les fraudes aux technologies de l'information (BEFTI) est joignable au 01 55 75 26 19 ou par email pppj-befti-information@interieur.gouv.fr

 

Chiffres-clés

400 milliards d'euros (0,11 % du PIB) > le coût mondial de la cybercriminalité

79 % des entreprises ont connu une cyberattaque au cours des 12 derniers mois 1

30 % des violations de données sont dues à la négligence des employés 1

173,5 jours > délai entre le début et la détection d'un piratage informatique 1

 

1 Données Hiscox 2014

2 Magazine Challenges, 2014

3 Center for Strategic and International Studies

 

Article écrit par Guy SCHEIDT, directeur adjoint responsable du département e-business et numérique, CCI Paris Ile-de-France

Article publié dans la revue Le Francilien - numéro 88 - hiver 2014 (téléchargez la revue)

Publication sur Compta Online en partenariat avec le Conseil Régional de l'Ordre des experts-comptables de Paris Ile-de-France