Comment protéger les documents sensibles ?

Comment protéger les documents sensibles ?

Évaluer cet élément
(1 Vote)

La sécurité des données sensibles et critiques est un enjeu majeur pour toutes les entreprises, au-delà d’une obligation légale avec le RGPD. Les cyberattaques, de plus en plus sophistiquées, se multiplient et le conflit en Ukraine les accroît encore.

Le RGPD définit dans l’article 9 la nature d’une donnée sensible : « Le traitement des données à caractère personnel qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique sont interdits ».

Concrètement, il s’agit notamment : 

  • Des documents confidentiels tels les dossiers RH, dossiers médicaux et autres.
  • Des documents patrimoniaux comme les informations légales originales sur la création de l’entreprise.
  • Des documents à forte valeur économique comme les contrats, brevets, copie exécutoire, résultats des travaux de la R&D, etc.

Comment réduire les attaques ?

« La sécurité, c’est 80 % d’organisation et 20 % de solutions techniques », note William Sampietro, responsable de la sécurité des systèmes d’information (RSSI) du groupe Docaposte.

Un conseil partagé par de nombreux professionnels de la cybersécurité et par l’Anssi (Agence nationale de la sécurité des systèmes d’information). Pour cette institution gouvernementale, des précautions élémentaires et de bon sens réduisent sensiblement les attaques qui exploitent souvent des vulnérabilités connues.  Dans le guide des bonnes pratiques, co-édité par la Confédération des PME (CPME) et l’Anssi, l’accent est mis sur des règles d’hygiène en sécurité informatique. Tout d’abord, l’impératif à choisir des mots de passe complexes et différents selon les applications et services.William Sampietro

Autre conseil récurrent, la mise à jour des logiciels qui permet, entre autres, de combler leurs vulnérabilités. Les droits d’accès aux postes de travail, dossiers, fichiers critiques sont un autre point de vigilance.

« Qui a le droit d’accéder et à quoi ? Même si tout est chiffré et protégé, tous les collaborateurs ne doivent pas accéder aux données ! Il faut bien configurer les privilèges d’accès en fonction des seules personnes habilitées. De plus, il faut interdire, bien sûr, l’accès public depuis Internet sauf à utiliser un VPN (réseau sécurisé). Il faut collecter les logs (l’historique) d’utilisation des applications installées pour tracer ou anticiper les attaques », conseille Stanislas de Goriainoff, responsable technique (CTO) de Sewan Groupe, opérateur et hébergeur Cloud.

Un constat en partie repris par William Sampietro : « Il faut isoler les réseaux en entreprise. Par exemple, le service commercial ne doit pas avoir accès à la RH (paie, contrats, etc.) et autres services ».

Dans ce sens, il faut aussi éviter de naviguer sur Internet depuis un compte administrateur qui dispose de privilèges plus élevés que les autres comptes.

De la nécessité primordiale de vérifier le contenu des sauvegardes

Des sauvegardes régulières, en local ou à distance, permettent de retrouver les données en cas de cyberattaque. Encore faut-il qu’elles soient complètes et vérifiées par des restaurations fréquentes.

Stanislas de Goriainoff« Il faut une garantie des procédures de sauvegarde et de restauration des données. Des audits réguliers permettent d’améliorer les processus de sauvegarde au fur et à mesure », précise Stanislas de Goriainoff.

D’autres précautions sont nécessaires pour compléter la protection du système d’information, telles que la sécurisation des accès Wi-Fi, ou encore le fait de ne pas cliquer sur n’importe quel lien dans un message, ce qui peut déclencher l’exécution d’un Ransomware qui crypte les données, avec demande de rançon, laquelle peut se chiffrer à plusieurs dizaines de milliers d’euros.

Le télétravail constitue par ailleurs une autre porte d’entrée au système d’information d’une entreprise, si les codes d’accès au VPN de l’entreprise sont découverts et exploités par un attaquant.

Le cas particulier des données de santé

Les hôpitaux, laboratoires, Ehpad, assureurs, mutuelles, etc. qui produisent des données de santé, ainsi que leurs hébergeurs Cloud, sont tenus aux précautions imposées par le RGPD et des certifications spécifiques. Le gouvernement publie la liste des prestataires agréés HDS (Hébergeur Données de Santé), une qualification qui exige une authentification forte, un chiffrement des flux et des données ou encore une traçabilité des accès.

Ce label repose sur la norme ISO 27001 qui englobe un ensemble de critères dont l’objectif est de protéger l’entreprise de toute perte, vol ou altération de données. Les coûts de certification pour cette norme s’évaluent en journées d’audit, facturées entre 750 € et 1 400 €/jour, sachant que pour une PME de 400 salariés, il faut compter 10 jours d’audit. Au total, l’obtention des normes 27001 et HDS est un long parcours qui se chiffre à plusieurs dizaines de milliers d’euros, selon Kuranda Labs Ingénerie.

Les entreprises doivent prendre conscience des risques sur leurs données critiques et sensibles, sachant que les demandes de rançon ont augmenté de 255 % en 2020, selon l’Agence nationale de la sécurité des systèmes d’information (Anssi), une tendance qui s’est poursuivie en 2021.

« Le niveau technique a beaucoup diminué pour opérer des malveillances. Aujourd’hui, le niveau technique des attaquants n’est en effet plus aussi élevé qu’auparavant. Il leur suffit désormais d’acheter des solutions malveillantes prêtes à l’emploi ou des codes d’accès », indique William Sampietro.

Les liens entre RGPD et cybersécurité

Le RGPD (Règlement général sur la protection des données), dont le décret d’application en France a été publié le 30 mai 2019, est intimement lié à la cybersécurité.

Selon la Cnil « Le RGPD est le seul texte à imposer des obligations précises de cybersécurité, de façon transversale, et soumises au pouvoir de contrôle et de sanction d’une autorité ».

Ce règlement stipule qu’en cas de non-respect des règles, les sanctions représentent une amende administrative de 20 millions d’euros ou 4 % du chiffre d’affaires. De quoi faire réfléchir les entreprises sur sa mise en oeuvre effective.

Lu 1788 fois Dernière modification le jeudi, 21 juillet 2022 10:36
Serge Escalé

Journaliste indépendant spécialisé IT depuis 1995
Le Monde informatique, Le Figaro, Les Echos, Itespresso, Le MagIT, Silicon.fr, GPO Magazine

Annonces

Big Data AI Paris 300x250

Annonces

Convention US 300x250

Annonces

Salons Solutions 300x250

Le magazine digital

Inscrivez-vous à notre édition digitale pour feuilleter gratuitement le prochain numéro

inscrit.png   

Vient de paraître GPO Magazine de Juin 2022
EDITION SPÉCIALE FINANCE
Recevoir la
 version PRINT en cliquant ici
Recevoir la version NUMÉRIQUE en cliquant ici

 Capture d’écran 2022-07-01 à 12.43.09.png 

Paru en Avril 2022
GPO MAGAZINE N°109
Recevoir la version PRINT en cliquant ici

EXTRAIT GPO 109.png

Livres Blanc et E-book

Toutes les solutions IT pour pouvoir moderniser ses infrastructures
Pour répondre aux défis de compétitivité, de cybersécurité, de performance opérationnelle et d’urgence climatique, les…
Les clés pour réussir l’intégration de la signature électronique au sein de son organisation !
Au travers de son livre blanc consacré à « La signature électronique et son intégration…
Comment passer à la facture électronique ?
En permettant un traitement automatisé et sécurisé, la facture électronique facilite la comptabilité des factures…
Cinq étapes pour améliorer l'expérience client grâce à l'Intelligence Artificielle
Les centres de contact sont une source importante d'informations sur les clients. Ils peuvent en…
Accélérer la transformation digitale de la comptabilité fournisseurs
Les équipes comptables se doivent d’engager leur transformation digitale pour éliminer les travaux de saisies…
Plus de livres blanc

Webinaires

Comment faire prospérer son entreprise dans la conjoncture actuelle ?
Pour accompagner les entreprises au plus près de leurs préoccupations, les experts de KPMG, Crédit…
Comment aborder la fin du « quoi qu’il en coûte » ?
Symboles du « quoi qu'il en coûte » comme réponse au Covid-19, les prêts garantis…
Comment simplifier la réservation hôtelière ?
Et si le voyage d’affaires devenait aussi simple que le voyage loisir ? Pour permettre…
Comment offrir une expérience client digne de Netflix grâce à l’Intelligence artificielle ?
Plus que jamais les entreprises se doivent d’offrir à leurs clients un expérience fluide, remarquable…
Comment renforcer l’agilité de ses applications de gestion avec Oracle Cloud ?
Toute entreprise, quel que soient sa taille, son métier ou ses activités, fait aujourd’hui face…
Plus de webinaires

Connexion

Devenir membre de GPOMag.fr vous permettra de bénéficier de nombreux avantages réservés uniquement aux membres : Recevoir l'édition digitale mensuelle, Feuilleter les cahiers thématiques et les télécharger gratuitement, Feuilleter gratuitement les derniers numéros de l'année en cours, Télécharger le planning rédactionnel pour connaître les sujets de la Rédaction à venir.

GPO Magazine

GPO Magazine, pour Gérer, Prévoir et Optimiser les ressources de l'entreprise est un magazine d'aide à la décision bimestriel, axé sur l'optimisation de la gestion d'entreprise, pour concrètement guider ses lecteurs dirigeants dans leurs réflexions stratégiques, leurs démarches opérationnelles, la gestion de leurs droits et dans le choix de leurs partenaires.

Une ligne éditoriale concrète et pertinente qui conjugue tendances, cas concrèts et témoignages, dossiers d'analyse, dossiers marchés, dossiers métiers, focus, point de droit, point international, point fiscal. Plus des " Avis d'Experts ".

Contactez-nous

Nos autres sites d'information

Twitter - Derniers posts