logo adn ervp

Tout savoir sur le RGPD et les cyberattaques

Publié le 31 mai 2024, modifié le 3 juin 2024

·

Accueil > RGPD > Tout savoir sur le RGPD et les cyberattaques

Depuis le 25 mai 2018 et l’entrée en vigueur du RGPD (Règlement Général sur la Protection des Données), chaque entreprise, association, organisme réalisant une collecte ou un traitement de données personnelles doit se mettre en conformité avec ledit règlement. 

Les entreprises ont deux raisons majeures de se mettre en conformité RGPD. 

  • La première leur permet de répondre à l’obligation légale en cas de contrôle de la CNIL mais également pouvoir rassurer leurs clients et sous-traitants sur le fait qu’ils ont mis en place une stratégie efficace concernant la protection des données qu’ils traitent pour le compte desdits clients et sous-traitants. 
  • La deuxième leur permet d’évaluer et prévenir leurs failles informatiques afin d’éviter une cyberattaque en prenant les mesures techniques adéquates. 

En 2020 une augmentation de 255% des cyberattaques a été relevée par rapport à 2019 (ANSSI). Elles touchent de plus en plus les TPE et PME, leurs systèmes étant souvent perfectibles. A ce jour, n’importe quelle entreprise qui est victime d’une cyberattaque est immédiatement paralysée. Les rançons réclamées par les hackers sont en moyenne de 20 000 €. 

En quoi consiste la mise en conformité RGPD ?

Plusieurs actions précises doivent être réalisées, à commencer par la mise en place des « Registres des activités de traitements », ils sont la base, le socle. Il s’agit de mettre en application les préconisations juridiques et techniques de la CNIL.

Pour chaque ensemble d’opérations traitant des données personnelles, différents registres doivent être réalisés (clients, sous-traitants, salariés, etc…). Ces registres consistent à réaliser une analyse complète des activités principales de l’entreprise qui nécessitent la collecte et le traitement de données.

Une mise en conformité RGPD doit traiter les points suivants :

  • Mise en place des Registres des activités de Traitements (tableau de bord essentiel des nombreuses actions techniques et juridiques permettant de se prémunir),
  • Cartographier les activités de l’entreprise, 
  • Clauses RGPD concernant les CGV, 
  • Politique de confidentialité, CGU, mentions légales, 
  • Avenants aux contrats de travail, 
  • Clauses de sous-traitance, badges, vidéosurveillance, géolocalisation, 
  • Charte informatique, etc.
  • Site internet (conforme au RGPD)

Lorsque nous faisons mention de protection des données, celles contenues sur support papier doivent également être traitées. 

Ainsi une mise en conformité RGPD dépasse largement le cadre de la mission informatique. 

Ce n’est qu’à l’issue de l’audit RGPD qu’il est judicieux de solliciter l’informaticien en charge de la maintenance de tout le système, de cette façon il interviendra une seule fois de façon globale. 

La mise en conformité RGPD permet de protéger les données personnelles des entreprises contre une perte, un vol ou un piratage de ses données. 

Qu’apporte aux entreprises la mise en conformité RGPD ?

L’actualité témoigne d’un nombre en forte hausse d’attaques informatiques dues aux failles de sécurité. Ces dernières peuvent avoir des conséquences désastreuses sur l’activité des entreprises.

La réalisation des « Registres des activités de traitements », permet d’évaluer tous les risques liés à la protection des données personnelles de façon exhaustive. Ce sont également les Registres qui doivent être présentés à la CNIL en cas de contrôle. 

Ce sont les « Registres des activités de traitements » qui permettent de se prémunir contre les risques de pertes de données ou de piratage à condition qu’un certain nombre d’actions soient mises en place de façon précise. 

Chaque salarié doit se référer aux « Registres des activités de traitements » afin de prendre connaissance des mesures de préventions mises en place pour assurer la protection desdites données.

Charte informatique et sensibilisation des collaborateurs

La sensibilisation des employés à la sécurité informatique de leur poste peut leur éviter d’être vulnérables face à une attaque, un problème de sécurité ou une perte/vol de leur matériel. Il est donc conseillé de rédiger une charte informatique et lui donner une force contraignante. 

Cette charte doit comporter un certain nombre d’éléments comme le rappel des règles de protection des données et les sanctions encourues en cas de non-respect de celles-ci.

La charte informatique tient compte des ressources informatiques, des services internet, des messagerie et téléphonie, ainsi que tout autre moyen de connexion à distance.  

Le cadre règlementaire de la sécurité de l‘information est complexe et peut générer des failles de sécurité si les membres du personnel ne respectent pas les règles juridiques qui doivent être appliquées. 

Elle définit ce que chaque collaborateur peut faire ou ne pas faire. 

Failles informatiques

Exemples de failles informatiques

Les failles potentielles sont nombreuses et non exhaustives, elles peuvent provenir d’outils de stockage amovibles (clefs USB, CD, disques durs externes, serveurs externes, cloud, qui présentent des risques importants d’infections par des programmes malveillants entrainant un risque de perte de données. 

Il faut tenir compte des risques liés aux modalités d’utilisation des moyens informatiques mis à disposition comme, les postes de travail, les équipements nomades (notamment dans le cadre du télétravail), les espaces de stockages individuels, les réseaux locaux, l’Internet, la messagerie électronique, la téléphonie.

Mais la faille principale reste de loin l’ERREUR HUMAINE puisque dans environ 80% des cas les logiciels malveillants ou malwares pénètrent un système suite à l’action d’un collaborateur de l’entreprise. Comme le disent la plupart des spécialistes informatiques, 

« La plus grosse faille dans la sécurité se trouve souvent entre la chaise et le clavier d’un PC. »

Les hackers redoublent d’imagination et mettent en place des pièges de plus en plus sophistiqués. 

Techniques de piratages

Les ordinateurs contiennent des données personnelles qui peuvent être convoitées par une tierce personne mal intentionnée. En cas de cyberattaque, il est important de se protéger contre une utilisation frauduleuse desdites données.

Différentes techniques sont employées contre les TPE et PME. 

Une entreprise peut être piégée par une technique appelée hameçonnage (phishing en anglais) qui est une technique frauduleuse destinée à leurrer les collaborateurs et le dirigeant d’une société pour les inciter à communiquer des données personnelles (comptes d’accès, mots de passe…) et/ou bancaires en se faisant passer pour un tiers de confiance.

Une entreprise peut également être victime d’un rançongiciel. Il s’agit d’un logiciel rançonneur, logiciel de rançon ou logiciel d’extorsion, nous parlons d’un logiciel malveillant qui prend en otage les données personnelles.

Nous pouvons également parler de cryptolockers, ransomwares, cryptogiciels, ou cryptovirus. Ces termes désignent tous un seul et même type d’attaque virale.

Comment se concrétise une cyberattaque ? 

Une cyberattaque peut se concrétiser de différentes façons. Il peut s’agir d’un mail reçu d’un client ou d’un sous-traitant qui a mal sécurisé son système et dont la boite mail a été piratée. Une fois la boite mail piratée, le hacker a la faculté d’envoyer des mails cohérents à tous les contacts qui ont été récupérés. 

Le mail que reçoit l’entreprise ciblée peut faire état d’un remboursement qui lui est destiné, il peut s’agir d’une facture ou de tous documents qui ne vont pas attirer l’attention de celui qui réceptionne le mail. Le document peut être un fichier corrompu en format WORD, EXCEL, PDF, un dossier zippé qui est inséré en pièce jointe. 

Il peut également s’agir de liens infectés directement insérés dans le corps du mail pointant vers un site internet, un lien de remboursement, de téléchargement, etc. 

Comme cela a déjà été expliqué auparavant, la plus grosse faille qui va permettre d’aboutir à la réussite d’une cyberattaque provient du dirigeant lui-même ou d’un collaborateur. 

Que se passe-t-il ensuite ? 

L’entreprise qui se fait piéger par un logiciel malveillant va constater un chiffrement des ressources clés qui rendra inaccessible tout le réseau informatique de la structure dont toutes les données sont cryptées et inutilisables. L’infection entraine dans la plupart des cas une inactivité complète de la société qui est victime d’un ransomware type CryptoLocker.  

En principe dans la plupart des cas un message s’affiche sur l’écran pour demander une rançon (souvent en Bitcoins) qui est en général de plus ou moins 20000 € pour une petite structure. Le montant varie en fonction de la taille et de la capacité financière de l’entreprise. Le risque est une perte définitive des données. 

Faut-il payer ?

Bien entendu il ne faut pas payer même si les entreprises françaises sont prêtes à payer dans 32% des cas (source silicon.fr). Le pourcentage d’entreprises ayant payé une rançon n’est pas connu en France mais une moyenne européenne indique qu’environ 40% se seraient exécutées. Ces structures indiquant qu’elles préfèrent payer sont celles qui n’ont pas d’autre choix pour espérer récupérer leurs données, sachant que leur système informatique est mal protégé, voire pas du tout. 

Ce qu’il faut retenir

Une mise en conformité RGPD juridique et technique permet aux entreprises de réaliser un audit exhaustif sur tous les sujets qui touchent aux données personnelles et à toutes les données de façon générale. 

  • Répondre à l’obligation légale en cas de contrôle de la CNIL 
  • Rassurer les clients et sous-traitants concernant la protection des données qu’ils traitent pour leur compte.
  • Prévenir les failles informatiques afin d’éviter une cyberattaque. 

Fausses affirmations et idées reçues

« Pour me mettre en conformité RGPD, j’appelle mon informaticien » FAUX

Réponse : Pour me mettre en conformité RGPD, j’établis avec un juriste compétent mes registres de traitement = Tableau de bord des actions existantes, non existantes et à réaliser. Une fois cet état des lieux établi, j’appelle mes prestataires, mon informaticien et mon juriste pour avancer pas à pas dans une mise en conformité progressive.

« Mon logiciel est sécurisé et conforme RGPD, je suis donc en conformité RGPD » FAUX

Réponse : Disposer d’un logiciel sécurisé est une excellente action de prévention mais il ne s’agît que d’une seule action ! Vos données sont stockées dans beaucoup d’endroit, messagerie électronique, format papier, logiciel, smartphone. La mise en conformité doit être totale, d’où l’intérêt de commencer par réaliser un état des lieux = Registres de traitement.

« Je ne suis pas concerné par le RGPD car je n’ai pas de site internet ni de logiciel ni de PC » FAUX

Réponse : Prenons un exemple, vous disposez du numéro de téléphone de votre client. Ce numéro de téléphone est une donnée personnelle. Cette donnée personnelle peut être inscrite dans le répertoire de votre smartphone et sur un morceau de papier. Vous disposez donc bien d’une donnée personnelle de votre client qui est inscrite sur deux supports différents. Vous devez vous mettre en conformité RGPD et sécuriser votre smartphone et votre morceau de papier !


ACTIONS DE PREVENTION A INTEGRER DANS VOS REGISTRES DE TRAITEMENTS (Non exhaustif)
QUI REALISE CETTE ACTION ?DIFFICULTE

Avant tout, j’établis mes registres de traitement !! = Véritable tableau de bord justificatif de l’ensemble des actions que je vais réaliser.
Juridique***

Renforcement des mots de passe.
En interne, recommandation de la CNIL à utiliser*

Politique de stockage des mots de passe.
En interne ou informaticien**

Limitation des accès à vos logiciels/serveurs (l’ensemble du personnel n’a pas accès à l’intégralité du logiciel !).
Informaticien*

Je ne collecte que les données utiles à mon activité (je suis capable de justifier pourquoi je collecte une donnée personnelle).
Juridique*

Je définis une durée maximale de conservation de mes données personnelles.
Juridique**

Je dispose d’un antivirus performant et à jour.
Informaticien*

Je dispose d’un stockage externalisé de mes données.
Informaticien**

Je définis en interne les personnes habilitées à accéder à chaque logiciel/local archives/session/agenda/etc…
En interne ou juridique*

Je sensibilise mes salariés/partenaires sur la bonne utilisation des smartphones, tablettes, PC portable surtout EN CAS DE TELETRAVAIL.
Juridique**


Je mets en place des systèmes de chiffrement = Cryptage des données.

Informaticien***

Je sensibilise mes salariés sur les bonnes pratiques relatives à l’utilisation des messageries électroniques (risque élevé de piratage, niveau d’erreur humaine important).
Juridique**

J’informe systématiquement les personnes dont je collecte des données personnelles et je leur rappelle leurs droits
Juridique**

Quand je réalise une newsletter, j’intègre systématiquement un Opt-out = Possibilité de se désinscrire à tout moment en cliquant sur un lien.
Informaticien*

Je dispose d’un site internet conforme au Règlement Européen sur la Protection des Données (gestion des Cookies, Politique de Confidentialité, etc…).
Juridique et informaticien***

Je sécurise l’accès à distance à mon serveur (VPN, etc…).
Informaticien**

Je vérifie la conformité RGPD de mes sous-traitants (expert-comptable, etc…).
Juridique*


Je dispose d’outils de détection des vulnérabilités afin de détecter d’éventuelles failles de sécurité.

Informaticien**

Je sécurise le stockage et la conservation de mes données personnelles sur support papier.
Prestataire technique (extincteur, couvreur, réparation de toiture si local archives sous les combles, prestataire alarme, etc…)*

Je contrôle l’accès à mes locaux.
Informaticien + Prestataire technique**
Je détruis correctement mes données personnelles sur format papier.Juriste pour rappel de la norme minimale destructeur de documents + Achat (gestion en interne)*

J’intègre une clause RGPD dans mes conditions générales de vente.
Juridique**

J’intègre une clause RGPD dans mes contrats sous-traitants.
Juridique**
J’établis une Charte Informatique, annexe de mon règlement intérieur pour gérer l’organisation des mes outils informatiques (navigation sur internet, messagerie électronique, etc…).Juridique**
Je définis la base juridique (sur quel fondement) de ma collecte de donnée (est-ce un contrat, un intérêt légitime, etc…).Juridique*
Si j’envoie des données à l’étranger, je vérifie la conformité RGPD du pays réceptionnaire des données personnelles transmises.Juridique*
Je notifie à la CNIL toutes violations de données personnelles.Juridique**
Je mets en place des systèmes de traçabilité des accès à mes logiciels et gestion des incidents.Informaticien**

Les bonnes pratiques

Bonne pratique 1 : J’utilise des mots de passe forts

  • Majuscule, minuscule, chiffre, caractère spécial et au moins 12 caractères. Les mots de passe doivent également être changés périodiquement.
  • Pour en savoir plus, voir les recommandations de la CNIL dans le cas d’une authentification des utilisateurs basée sur des mots de passe.

Bonne pratique 2 :  Je suis sensibilisé et conserve une vigilance accrue

  • Dans environ 80% des cas, les logiciels malveillants ou malwares pénètrent un système suite à l’action d’un collaborateur de l’entreprise.

Bonne pratique 3 : J’utilise un logiciel de gestionnaire de mots de passe différent de celui du navigateur

  • Un bon gestionnaire de mots de passe est un logiciel qui stocke tous vos mots de passe et les protège en les chiffrant. Il vous évite de retenir des dizaines de mots de passe ou de les noter en clair dans un fichier texte ou un Post-IT.

Bonne pratique 4 : Je verrouille ma session quand je m’absente

  • Astuce : Pour verrouiller rapidement votre ordinateur, appuyez sur la touche Windows de votre clavier, puis, tout en maintenant enfoncée, pressez la touche L. Vous pouvez également placer un raccourci sur le bureau sur lequel il vous suffit de double cliquer pour verrouiller votre ordinateur.

Bonne pratique 5 : Je n’ouvre jamais de pièces jointes avec les extensions suivantes : .pif, .bat, .com, .exe

Bonne pratique 6 : Je mets à jour mes systèmes d’exploitation, logiciels et antivirus

  • Mettre à jour ses systèmes d’exploitation, logiciels et antivirus permet de corriger les failles de sécurité et améliorer le système, afin de le rendre plus résistant aux attaques des virus.

Bonne pratique 7 : Je sauvegarde fréquemment mes données sur une source externalisée

  • Une sauvegarde externalisée vous permettra ainsi de garder vos données bien en sécurité, et, en cas de sinistre, de les récupérer facilement et simplement. Un cloud, quant à lui, vous permettra de mettre sur serveur des fichiers pour pouvoir les utiliser n’importe où, n’importe quand.

Bonne pratique 8 : Je conserve une veille sur l’actualité liée à la sécurité informatique

  • Les hackers innovent en permanence, de nouveaux virus sont créés chaque jour.
  • Selon PromoSoft, il existait en 2013 5 180 000 000 virus informatique…

Bonne pratique 9 : En cas d’infection, je débranche le poste infecté du réseau

  • La première chose à faire est de déconnecter sa machine du réseau, pas en débranchant le câble réseau, mais en passant par le panneau de configuration.
  • Dans bon nombre d’organisations, les employés ont pour réflexe de déconnecter le câble réseau de leurs ordinateurs en cas d’attaque pour éviter que le virus se propage vers d’autres machines sur le réseau. Ainsi, ces organisations s’appuient sur des processus d’assainissement manuels croyant permettre à l’utilisateur lésé de pouvoir de nouveaux recourir à ses applications métiers, le plus rapidement possible après l’attaque.
  • Néanmoins, un problème réside : si une machine est déconnectée manuellement du réseau, la machine ne peut plus être gérée à distance par la DSI. Un employé doit se rendre physiquement auprès de la machine pour la réparer, ce qui ne permet pas de connaître l’état de restauration de la machine.

Bonne pratique 10 : Je ne paie jamais les rançons

  • En entreprise, alertez immédiatement votre service ou prestataire informatique si vous en disposez afin qu’il puisse intervenir rapidement et prendre les mesures nécessaires.
  • Ne payez pas la rançon car vous n’êtes pas certain de récupérer vos données et vous alimenteriez le système mafieux.
  • De plus, la probabilité de subir une nouvelle attaque est plus élevée pour les entreprises qui paient.

Bonne pratique 11 : J’effectue régulièrement des tests de sécurité

  • Une façon de vérifier si les campagnes de sensibilisation auprès des employés fonctionnent consiste à les tester en simulant, par exemple, l’envoi d’un courriel frauduleux. N’oubliez pas de l’envoyer aussi – et même surtout – à ceux qui occupent des postes stratégiques.

Bonne pratique 12 : Je limite l’accès aux informations confidentielles

  • Une entreprise détenant des informations confidentielles doit veiller à limiter l’accès aux informations confidentielles seulement aux employés qui ont besoin de savoir et de manipuler ces informations. Les copies des documents doivent être gardées sous clé et les copies électroniques protégées par un mot de passe ou d’un dispositif informatique strict. L’accès à l’ordinateur doit être surveillé. La surveillance d’une « activité suspecte » peut aider dans le cadre d’une action en justice.

Bonne pratique 13 : Je dispose d’une solution de messagerie sécurisée et évoluée

  • L’une des failles principales liée à l’intrusion d’un virus dans le réseau informatique d’une entreprise est l’email. Afin d’anticiper et se protéger face à une potentielle attaque, Il est donc plus que nécessaire d’équiper le serveur de messagerie mail de son entreprise d’un logiciel de protection avancé.
  • A titre d’exemple, une solution comme Vircom permet d’intégrer à son serveur de messagerie sécurisée un anti-spam pour lutter contre le phishing, un anti-virus, un anti-malware ou encore un système de protection face à un ransomware, qui s’avèrent être très efficaces dans ce genre de situation.
  • Vous protégerez ainsi d’avantage les flux de messageries entrant et sortant de votre organisation.