Le RGPD définit dans l’article 9 la nature d’une donnée sensible : « Le traitement des données à caractère personnel qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique sont interdits ».

Concrètement, il s’agit notamment : 

• Des documents confidentiels tels les dossiers RH, dossiers médicaux et autres.
• Des documents patrimoniaux comme les informations légales originales sur la création de l’entreprise.
• Des documents à forte valeur économique comme les contrats, brevets, copie exécutoire, résultats des travaux de la R&D, etc.

Comment réduire les attaques ?

« La sécurité, c’est 80 % d’organisation et 20 % de solutions techniques », note William Sampietro, responsable de la sécurité des systèmes d’information (RSSI) du groupe Docaposte.

Un conseil partagé par de nombreux professionnels de la cybersécurité et par l’Anssi (Agence nationale de la sécurité des systèmes d’information). Pour cette institution gouvernementale, des précautions élémentaires et de bon sens réduisent sensiblement les attaques qui exploitent souvent des vulnérabilités connues.  Dans le guide des bonnes pratiques, co-édité par la Confédération des PME (CPME) et l’Anssi, l’accent est mis sur des règles d’hygiène en sécurité informatique. Tout d’abord, l’impératif à choisir des mots de passe complexes et différents selon les applications et services.

Autre conseil récurrent, la mise à jour des logiciels qui permet, entre autres, de combler leurs vulnérabilités. Les droits d’accès aux postes de travail, dossiers, fichiers critiques sont un autre point de vigilance.

« Qui a le droit d’accéder et à quoi ? Même si tout est chiffré et protégé, tous les collaborateurs ne doivent pas accéder aux données ! Il faut bien configurer les privilèges d’accès en fonction des seules personnes habilitées. De plus, il faut interdire, bien sûr, l’accès public depuis Internet sauf à utiliser un VPN (réseau sécurisé). Il faut collecter les logs (l’historique) d’utilisation des applications installées pour tracer ou anticiper les attaques », conseille Stanislas de Goriainoff, responsable technique (CTO) de Sewan Groupe, opérateur et hébergeur Cloud.

Un constat en partie repris par William Sampietro : « Il faut isoler les réseaux en entreprise. Par exemple, le service commercial ne doit pas avoir accès à la RH (paie, contrats, etc.) et autres services ».

Dans ce sens, il faut aussi éviter de naviguer sur Internet depuis un compte administrateur qui dispose de privilèges plus élevés que les autres comptes.

De la nécessité primordiale de vérifier le contenu des sauvegardes

Des sauvegardes régulières, en local ou à distance, permettent de retrouver les données en cas de cyberattaque. Encore faut-il qu’elles soient complètes et vérifiées par des restaurations fréquentes.

« Il faut une garantie des procédures de sauvegarde et de restauration des données. Des audits réguliers permettent d’améliorer les processus de sauvegarde au fur et à mesure », précise Stanislas de Goriainoff.

D’autres précautions sont nécessaires pour compléter la protection du système d’information, telles que la sécurisation des accès Wi-Fi, ou encore le fait de ne pas cliquer sur n’importe quel lien dans un message, ce qui peut déclencher l’exécution d’un Ransomware qui crypte les données, avec demande de rançon, laquelle peut se chiffrer à plusieurs dizaines de milliers d’euros.

Le télétravail constitue par ailleurs une autre porte d’entrée au système d’information d’une entreprise, si les codes d’accès au VPN de l’entreprise sont découverts et exploités par un attaquant.

Le cas particulier des données de santé

Les hôpitaux, laboratoires, Ehpad, assureurs, mutuelles, etc. qui produisent des données de santé, ainsi que leurs hébergeurs Cloud, sont tenus aux précautions imposées par le RGPD et des certifications spécifiques. Le gouvernement publie la liste des prestataires agréés HDS (Hébergeur Données de Santé), une qualification qui exige une authentification forte, un chiffrement des flux et des données ou encore une traçabilité des accès.

Ce label repose sur la norme ISO 27001 qui englobe un ensemble de critères dont l’objectif est de protéger l’entreprise de toute perte, vol ou altération de données. Les coûts de certification pour cette norme s’évaluent en journées d’audit, facturées entre 750 € et 1 400 €/jour, sachant que pour une PME de 400 salariés, il faut compter 10 jours d’audit. Au total, l’obtention des normes 27001 et HDS est un long parcours qui se chiffre à plusieurs dizaines de milliers d’euros, selon Kuranda Labs Ingénerie.

Les entreprises doivent prendre conscience des risques sur leurs données critiques et sensibles, sachant que les demandes de rançon ont augmenté de 255 % en 2020, selon l’Agence nationale de la sécurité des systèmes d’information (Anssi), une tendance qui s’est poursuivie en 2021.

« Le niveau technique a beaucoup diminué pour opérer des malveillances. Aujourd’hui, le niveau technique des attaquants n’est en effet plus aussi élevé qu’auparavant. Il leur suffit désormais d’acheter des solutions malveillantes prêtes à l’emploi ou des codes d’accès », indique William Sampietro.