Dans le premier volet de ce dossier consacré à la sécurisation informatique des entreprises, vous avez découvert l’importance de contrôler les points d’accès Internet et Wifi mais aussi la nécessité de mettre en place des sauvegardes régulières.
Toutefois, ces mesures ne peuvent pas à elles seules protéger l’entreprise contre la cybercriminalité.
D’autres dispositifs sont à intégrer pour une protection optimale :
Le piège des applications Cloud personnelles
Au-delà des usages nomades, un autre problème se pose aux employeurs : l’utilisation par les salariés d’applications cloud personnelles permettant de stocker des données (documents, photos, vidéos, emails…). L’offre en la matière est foisonnante et ces solutions sont très populaires car elles sont gratuites, pratiques et simples à utiliser.
Mais en matière de cybersécurité, elles ressemblent à un gigantesque iceberg sur lequel l’entreprise vient se fracasser.
Les applications cloud personnelles comportent en effet de nombreuses failles :
- les entreprises ne peuvent pas savoir quels sont les fichiers qui sont déposés en ligne (des données ultra-sensibles peuvent donc se retrouver en ligne, stockées sur des serveurs plus ou moins sécurisés)
- certains fichiers peuvent être potentiellement déposés en accès public (sans que le collaborateur en ait forcément conscience), et donc visibles par des tiers mal intentionnés
- le lieu d’hébergement des données est inconnu de l’entreprise
- le risque juridique est très important : par exemple, la plupart des plateforme de stockage sont localisées aux Etats-Unis. Or le droit américain ne prévoit pas une règle générale de protection des données personnelles. On imagine aisément les problèmes qui peuvent se poser lorsque les données sont nominatives !
Pourtant, l’entreprise doit garantir la confidentialité et la sécurité de ses données, et notamment des plus sensibles.
Pour se protéger, l’entreprise peut agir à deux niveaux :
– sensibiliser ses équipes à l’ensemble des risques encourus (en particulier via la mise en place d’une charte informatique – ce point sera développé dans le troisième volet de ce dossier consacré aux bonnes pratiques de cybersécurité).
– proposer des solutions concrètes à ses collaborateurs pour éviter qu’ils n’utilisent les outils gratuits disponibles dans le cloud public.
La garantie d’être victime d’une attaque
En matière de cybercriminalité, les entreprises n’ont pas les moyens de se bercer d’illusions : elles ont la garantie d’être tôt ou tard victime d’une attaque. Les pirates ont une longueur d’avance puisqu’ils utilisent en permanence des robots virtuels très puissants afin de déceler tous les serveurs insuffisamment protégés. Il ne leur reste plus alors qu’à lancer une attaque pour installer un logiciel espion ou malveillant dans le réseau de l’entreprise.
A ce sujet, il faut tordre le cou à une idée reçue : toutes les attaques ne sont pas spectaculaires. En dehors des situations de chantage, les collaborateurs et les dirigeants ne s’aperçoivent même pas qu’ils sont piratés. Toutes les données personnelles (y compris les plus sensibles) sont volées à leur insu. Comme évoqué précédemment, le recours aux applications cloud personnelles vient encore augmenter les risques.
En fonction de votre degré de préparation, vous ne vivrez pas les attaques de la même manière. Une entreprise peut ainsi repousser efficacement l’intrusion des pirates et continuer à fonctionner normalement (ou en tout cas limiter la casse) si elle a pris certaines dispositions en amont telles que :
- la mise en place d’outils anti-intrusion performants (pour bloquer les malwares, identifier les vulnérabilités informatiques…)
- la mise à jour régulière des installations et de l’ensemble du parc applicatif
- la sensibilisation des collaborateurs
- le recours à des solutions adaptées, simples à utiliser au quotidien sans connaissances spécifiques.
L’avis de Laurent Brault, dirigeant de MDK Solutions
Il est essentiel d’avoir une démarche à la fois réaliste et respectant les obligations légales des dirigeants.
En ce sens, la mise en place du RGPD est une vraie opportunité pour analyser en permanence les risques, les conséquences induites et les actions à entreprendre en préventif et en cas d’attaque effective.
Cette démarche va naturellement vous conduire à prendre aussi en compte le risque lié aux applications cloud personnelles. Il ne sert à rien de vouloir lutter contre les outils de messagerie ou de stockage en ligne pour la bonne raison qu’ils sont déjà entrés dans les mœurs. En revanche, il est possible de proposer aux collaborateurs des solutions sécurisées et adaptées.
MDK Solutions propose par exemple deux outils dédiés aux usages nomades qui peuvent être couplés : Nomad Vault (pour les sauvegardes automatiques, le partage collaboratif et l’envoi de gros fichiers) et Kryptkey Mail (pour chiffrer ses données, envoyer des emails chiffrés et/ou bénéficier d’un disque dur virtuel sécurisé).