5883 CONTENT gop 1000x90 2024 Microsoft Work Magic W24

Comment protéger les documents sensibles ?

Comment protéger les documents sensibles ?

Évaluer cet élément
(2 Votes)

La sécurité des données sensibles et critiques est un enjeu majeur pour toutes les entreprises, au-delà d’une obligation légale avec le RGPD. Les cyberattaques, de plus en plus sophistiquées, se multiplient et le conflit en Ukraine les accroît encore.

Le RGPD définit dans l’article 9 la nature d’une donnée sensible : « Le traitement des données à caractère personnel qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique sont interdits ».

Concrètement, il s’agit notamment : 

  • Des documents confidentiels tels les dossiers RH, dossiers médicaux et autres.
  • Des documents patrimoniaux comme les informations légales originales sur la création de l’entreprise.
  • Des documents à forte valeur économique comme les contrats, brevets, copie exécutoire, résultats des travaux de la R&D, etc.

Comment réduire les attaques ?

« La sécurité, c’est 80 % d’organisation et 20 % de solutions techniques », note William Sampietro, responsable de la sécurité des systèmes d’information (RSSI) du groupe Docaposte.

Un conseil partagé par de nombreux professionnels de la cybersécurité et par l’Anssi (Agence nationale de la sécurité des systèmes d’information). Pour cette institution gouvernementale, des précautions élémentaires et de bon sens réduisent sensiblement les attaques qui exploitent souvent des vulnérabilités connues.  Dans le guide des bonnes pratiques, co-édité par la Confédération des PME (CPME) et l’Anssi, l’accent est mis sur des règles d’hygiène en sécurité informatique. Tout d’abord, l’impératif à choisir des mots de passe complexes et différents selon les applications et services.William Sampietro

Autre conseil récurrent, la mise à jour des logiciels qui permet, entre autres, de combler leurs vulnérabilités. Les droits d’accès aux postes de travail, dossiers, fichiers critiques sont un autre point de vigilance.

« Qui a le droit d’accéder et à quoi ? Même si tout est chiffré et protégé, tous les collaborateurs ne doivent pas accéder aux données ! Il faut bien configurer les privilèges d’accès en fonction des seules personnes habilitées. De plus, il faut interdire, bien sûr, l’accès public depuis Internet sauf à utiliser un VPN (réseau sécurisé). Il faut collecter les logs (l’historique) d’utilisation des applications installées pour tracer ou anticiper les attaques », conseille Stanislas de Goriainoff, responsable technique (CTO) de Sewan Groupe, opérateur et hébergeur Cloud.

Un constat en partie repris par William Sampietro : « Il faut isoler les réseaux en entreprise. Par exemple, le service commercial ne doit pas avoir accès à la RH (paie, contrats, etc.) et autres services ».

Dans ce sens, il faut aussi éviter de naviguer sur Internet depuis un compte administrateur qui dispose de privilèges plus élevés que les autres comptes.

De la nécessité primordiale de vérifier le contenu des sauvegardes

Des sauvegardes régulières, en local ou à distance, permettent de retrouver les données en cas de cyberattaque. Encore faut-il qu’elles soient complètes et vérifiées par des restaurations fréquentes.

Stanislas de Goriainoff« Il faut une garantie des procédures de sauvegarde et de restauration des données. Des audits réguliers permettent d’améliorer les processus de sauvegarde au fur et à mesure », précise Stanislas de Goriainoff.

D’autres précautions sont nécessaires pour compléter la protection du système d’information, telles que la sécurisation des accès Wi-Fi, ou encore le fait de ne pas cliquer sur n’importe quel lien dans un message, ce qui peut déclencher l’exécution d’un Ransomware qui crypte les données, avec demande de rançon, laquelle peut se chiffrer à plusieurs dizaines de milliers d’euros.

Le télétravail constitue par ailleurs une autre porte d’entrée au système d’information d’une entreprise, si les codes d’accès au VPN de l’entreprise sont découverts et exploités par un attaquant.

Le cas particulier des données de santé

Les hôpitaux, laboratoires, Ehpad, assureurs, mutuelles, etc. qui produisent des données de santé, ainsi que leurs hébergeurs Cloud, sont tenus aux précautions imposées par le RGPD et des certifications spécifiques. Le gouvernement publie la liste des prestataires agréés HDS (Hébergeur Données de Santé), une qualification qui exige une authentification forte, un chiffrement des flux et des données ou encore une traçabilité des accès.

Ce label repose sur la norme ISO 27001 qui englobe un ensemble de critères dont l’objectif est de protéger l’entreprise de toute perte, vol ou altération de données. Les coûts de certification pour cette norme s’évaluent en journées d’audit, facturées entre 750 € et 1 400 €/jour, sachant que pour une PME de 400 salariés, il faut compter 10 jours d’audit. Au total, l’obtention des normes 27001 et HDS est un long parcours qui se chiffre à plusieurs dizaines de milliers d’euros, selon Kuranda Labs Ingénerie.

Les entreprises doivent prendre conscience des risques sur leurs données critiques et sensibles, sachant que les demandes de rançon ont augmenté de 255 % en 2020, selon l’Agence nationale de la sécurité des systèmes d’information (Anssi), une tendance qui s’est poursuivie en 2021.

« Le niveau technique a beaucoup diminué pour opérer des malveillances. Aujourd’hui, le niveau technique des attaquants n’est en effet plus aussi élevé qu’auparavant. Il leur suffit désormais d’acheter des solutions malveillantes prêtes à l’emploi ou des codes d’accès », indique William Sampietro.

Les liens entre RGPD et cybersécurité

Le RGPD (Règlement général sur la protection des données), dont le décret d’application en France a été publié le 30 mai 2019, est intimement lié à la cybersécurité.

Selon la Cnil « Le RGPD est le seul texte à imposer des obligations précises de cybersécurité, de façon transversale, et soumises au pouvoir de contrôle et de sanction d’une autorité ».

Ce règlement stipule qu’en cas de non-respect des règles, les sanctions représentent une amende administrative de 20 millions d’euros ou 4 % du chiffre d’affaires. De quoi faire réfléchir les entreprises sur sa mise en oeuvre effective.

Lu 7221 fois Dernière modification le jeudi, 21 juillet 2022 10:36
Serge Escalé

Journaliste indépendant spécialisé IT depuis 1995
Le Monde informatique, Le Figaro, Les Echos, Itespresso, Le MagIT, Silicon.fr, GPO Magazine

Annonces

cta livre blanc facture

Le magazine digital

Inscrivez-vous à notre édition digitale pour feuilleter gratuitement le prochain numéro

inscrit.png   

Paru le 4 mars 2024
GPO Magazine N°113
Demandez votre exemplaire au service Vente au numéro

Lire l'extrait GPO 113.png

 

Livres Blanc et E-book

Guide Infrastructure 2024 pour gérer plus facilement son IT
Dans un environnement où la technologie évolue, les entreprises doivent constament adapter et améliorer leurs…
Guide stratégique pour la direction générale : implémentation et utilisation optimale d'un ERP
La mise en place ou le remplacement d’une solution ERP est un choix fort qui…
Le Système d'Exploitation Hybride Windows 11 de Microsoft Booste la Productivité et la Sécurité en Entreprise
Microsoft a récemment dévoilé Windows 11, son dernier système d'exploitation, qui s'adapte parfaitement au mode…
Plus de livres blanc

Webinaires

Facturation Électronique 2024 : une opportunité de performer pour les entreprises !
Une enquête de Wax Digital a révélé que 70 % des professionnels de la comptabilité…
Comment faire prospérer son entreprise dans la conjoncture actuelle ?
Pour accompagner les entreprises au plus près de leurs préoccupations, les experts de KPMG, Crédit…
Comment aborder la fin du « quoi qu’il en coûte » ?
Symboles du « quoi qu'il en coûte » comme réponse au Covid-19, les prêts garantis…
Plus de webinaires

Services aux entreprises

è Comment gérer plus facilement son infrastucture IT ?

Le guide complet pour découvrir toutes les solutions IT qui permettent d'élaborer une stratégie informatique performante : solutions d'infrastructures, réseau et sécurité, énergies, baies et racks

Télécharger le Guide Infrastructure IT 2024-2025

Photo Guide Infra IT 2024 Inmac.png

 

è Direction générale, quel niveau d'exigence requis pour le déploiement d'un ERP dans une entreprise industrielle ?

Les clés du niveau d'implication de la direction générale dans un projet d'acquisition ou d'implémentation d'un ERP industriel

Télécharger le livre blanc 

EBOOK SYLOB - Direction Générale.jpg

 

è Comment les données et l’IA peuvent révolutionner les prises de décision ?

L'impact que les données peuvent avoir sur l’entreprise et comment des outils technologiques permettent d’exploiter ces données de manière efficace et sécurisée.

Visualiser la vidéo sur notre chaîne en cliquant ici


è
 Découvrez le réel impact de Windows 11 Professionnel

Grâce à la sécurité activée par défaut, les entreprises du monde entier prennent des initiatives plus audacieuses et des décisions plus rapides.

 
è Facturation électronique 2026

Un guide détaillé sur les étapes clés pour réussir son passage à la facturation électronique 2026 et franchir le pas de la dmatérialisation, avec tous les bénéfices qui l'accompagnent.

LB Facturation electronique 2026 Docuware.png

 

è  BUSINESS FRANCE : Établir des relations commerciales en l'Allemagne

L'Allemagne est le premier partenaire commercial de la France et représente le plus fort potentiel à l'export de la France à horizon 2025. Ce marché à la fois passionnant et exigeant mérite d'adopter une stratégie durable pour établir une relation commerciale sur le long terme. Tel est l'objectif de ce livre blanc de 64 pages intitulé "Quelle stratégie pour établir une relation commerciale avec l'Allemagne", proposé par Business France et ses partenaires de la Team France, et téléchargeable gracieusement.

 Couverture Livre Blanc Business France Allemagne.png

 
è  SYLOB : ERP pour l'industrie

Anticiper les évolutions industrielles et se projeter dans l'usine intelligente du futur, tels sont les objectifs visés par ce guide pratique de 20 pages à destination des PME intitulé "Industrie 4.0 & ERP", proposé par Sylob et téléchargeable gracieusement.

Couv Sylob CTA.png

 

GPO Magazine

GPO Magazine, pour Gérer, Prévoir et Optimiser les ressources de l'entreprise est un magazine d'aide à la décision bimestriel, axé sur l'optimisation de la gestion d'entreprise, pour concrètement guider ses lecteurs dirigeants dans leurs réflexions stratégiques, leurs démarches opérationnelles, la gestion de leurs droits et dans le choix de leurs partenaires.

Une ligne éditoriale concrète et pertinente qui conjugue tendances, cas concrèts et témoignages, dossiers d'analyse, dossiers marchés, dossiers métiers, focus, point de droit, point international, point fiscal. Plus des " Avis d'Experts ".

Contactez-nous

Nos autres sites d'information

Twitter - Derniers posts