Les entreprises de tous types et de toutes tailles souffrent depuis plusieurs mois d’une recrudescence de cyberattaques. Ce phénomène découle notamment de la généralisation du travail à distance et de l’augmentation du nombre d’outils collaboratifs auxquels les salariés ont accès. Bien qu’ils puissent avoir un impact considérablement néfaste pour les entreprises comme pour leurs partenaires, ces incidents peuvent être évités et leurs conséquences diminuées.
En effet, certaines pratiques préventives à mettre en place auprès des collaborateurs, corrélées à des solutions de cybersécurité performantes, peuvent contribuer à diminuer le nombre et l’impact des atteintes à la sécurité des informations des entreprises.
L’envoi en pièce jointe à un email est désormais une pratique particulièrement répandue pour partager des documents entre collaborateurs d’une même entreprise comme vers un destinataire externe. Pourtant, ces documents peuvent contenir des informations sensibles ou confidentielles qui ne doivent pas se retrouver sur les écrans de personnes mal intentionnées. Les expéditeurs de ces documents ne saisissent pas toujours la dangerosité que peut représenter leur envoi et les risques liés à une rupture de la confidentialité de la correspondance sous forme électronique. Par ailleurs, la messagerie électronique reste l'un des principaux vecteurs de diffusion de menaces ou de stratégies d'intrusion ou d'interception d'information (diffusion de virus, hameçonnage, etc.).
La sensibilisation et la formation continue des collaborateurs à la vigilance constante autour des données partagées est une étape incontournable : quelles informations sont sensibles ou confidentielles, quels risques en cas d’interception de ces informations, quels risques encourus, quels outils et quelles bonnes pratiques utiliser pour assurer un partage sécurisé.
L’utilisation d’un mot de passe robuste, par exemple, ainsi qu’un usage d’internet cloisonné entre l’activité professionnelle et l’activité personnelle, sont des notions qui peuvent sembler évidentes mais qu’il est néanmoins nécessaire de rappeler fréquemment. Le verrouillage de session et le lancement des mises à jour recommandées ne sont pas des options, et la désactivation des logiciels de sécurité – anti-virus, pare-feu – est à éviter en toute circonstance. Certaines entreprises mettent en place des simulations de test de cyberattaques – faux messages d’hameçonnage, fausses clés USB « piratées » –, qui permettent d’analyser la réaction des collaborateurs et d’effectuer une session de rappel des bonnes pratiques en cas de besoin.
Si l’entreprise a pour obligation morale mais également légale de fournir le matériel adéquat afin de garantir la sécurité des données de ses clients, elle doit comprendre que sa mission intègre également l’adoption des protocoles permettant la bonne utilisation des outils par l’ensemble de ses collaborateurs, afin que les protections atteignent réellement leur potentiel maximal.
Il est donc crucial d’impliquer les collaborateurs dans l’effort collectif contre les cyberattaques afin de minimiser les risques. Risque pour les entreprises elles-mêmes, mais aussi pour leurs clients. Car en cas d’attaque, c’est bien le dirigeant de la société victime du méfait qui pourra être inquiétée. L’article 34 du règlement général sur la protection des données indique que lorsqu’une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, le responsable du traitement doit communiquer la violation de données à caractère personnel à la personne concernée dans les meilleurs délais. Il doit ensuite être en capacité de démontrer que sa responsabilité n’est pas engagée, de prouver aux autorités qu’il a bien, en amont de cette attaque, utilisé tous les moyens nécessaires pour limiter les risques : sécurité du système d’information, formation des collaborateurs, mais aussi qu’il s’est bien assuré du bon fonctionnement de sa stratégie de protection, sur les plans matériel et humain.
Si l’entreprise affiche des manquements à la sécurité des informations qu’il traite, son dirigeant encourt des sanctions civiles et pénales pouvant aller
jusqu’à cinq années d’emprisonnement et 300 000 euros d’amende (code pénal art 226-16). En 2019, le conseil d'Etat a confirmé l'amende CNIL de 200 000 euros infligée à une grande chaine d'optique(1) pour absence avérée de mesure d’organisation et de protection de son système d’information. Dans le contexte actuel, l'implication des collaborateurs n'est plus une option mais un engagement de tous les acteurs de l'entreprise en tête desquels les dirigeants, qui savent désormais que cela n'arrive pas qu'aux autres et qu'ils ne pourront pas invoquer une posture de victime pour seule défense.
1) https://www.legalis.net/actualite/optical-center-le-conseil-detat-confirme-mais-reduit-la-sanction/