Étape 1 – Former pour mieux sensibiliser

En 2022, les PME/ETI représentaient 40% des victimes de compromission par rançongiciel. L’adoption et le renforcement d’une culture cyber est d’autant plus important pour que celles-ci sont de plus en plus ciblées par les hackers.

La première étape vers la conformité consiste à former ses collaborateurs afin de les sensibiliser aux principes de transparence, de consentement et de confidentialité. En pratique, cela signifie que l’entreprise doit se limiter aux données strictement utiles à son fonctionnement. Cette politique doit être appliquée par tous les services. Pour ce faire, il est essentiel que chaque collaborateur sache ce qu’est une donnée, comment la traiter, évaluer son utilité…

Un collaborateur sensibilisé sera plus vigilant et plus prudent. Ce changement d’attitude contribuera à réduire les attaques par ransomware ou la fuite de données par social engineering — une technique basée sur manipulation psychologique d’un ou plusieurs individus pour obtenir des informations ou un accès à des ressources. La plus connue, le phishing, est également la plus fréquente. En 2023, 60% des organisations ont signalé avoir été la cible de ce type d’attaques.

La mise en place de bonnes pratiques en matière de sécurité informatique est cruciale pour garantir la protection des données et des informations sensibles. Tout d'abord, il est essentiel de choisir des mots de passe forts, combinant lettres majuscules et minuscules, chiffres et caractères spéciaux, afin de renforcer la sécurité des comptes. L'utilisation d'un gestionnaire de mots de passe facilite la gestion et la création de mots de passe complexes, tout en offrant un moyen sécurisé de les stocker.

La sensibilisation peut être renforcée par des pratiques telles que le "croissantage". Bien qu’elle puisse sembler inoffensive, elle souligne l'importance de verrouiller ses sessions pour éviter toute utilisation non autorisée. Un collaborateur profite de l'oubli d'un collègue et envoie des messages au nom de ce dernier, comme dans le cas du courriel promettant des croissants. Sensibiliser l'équipe à de telles situations contribue à renforcer la culture de la sécurité au sein de l'organisation.

Étape 2 – Faire attention aux outils

Toute donnée d’un client doit être vue comme confidentielle. De fait, pour rester en conformité, il est nécessaire de s’appuyer sur des outils de confiance, centrés sur la confidentialité et la sécurité de tous les utilisateurs. Seuls les outils respectant ces principes pourront être mis en place et utilisés en interne.

L'évaluation des outils et des partenaires dans le cadre de la gestion des données et de la sécurité informatique est une étape essentielle pour assurer la conformité et protéger la vie privée des utilisateurs. Il est crucial de privilégier des partenaires transparents, offrant des moyens concrets de rester en conformité. Cela peut inclure l'hébergement des serveurs en Europe, le chiffrement des données et une transparence totale sur les pratiques liées à la collecte et au traitement des informations. Il est important que les collaborateurs utilisent exclusivement les outils et applications approuvés par les équipes SI. En effet, le manquement à cette pratique (Shadow IT) est la deuxième cause d’incident de sécurité informatique (35%).

11 % des TPE PME (16 % dans le secteur du commerce) ont recours à des solutions d’analyse de données. Cependant, les sous-traitants organisant la collecte ou le traitement de données doivent leur fournir un certain nombre d’outils leur permettant de rester en conformité avec le RGPD.

Par ailleurs, la collecte de données doit être effectuée avec le consentement explicite des utilisateurs. Il est recommandé d'utiliser des formulaires comportant des cases à cocher, permettant aux utilisateurs de donner leur accord de manière informée. Ce processus garantit une approche respectueuse de la vie privée et renforce la confiance des utilisateurs.

Étape 3 – Adopter le Security-by-design

Pour couvrir l'ensemble de l’infrastructure et des opérations, le volet technique ne doit pas être négligé. L’adoption du Security-by-design est essentielle, notamment pour les sociétés éditrices. Cette approche proactive consiste à intégrer la sécurité des données dès le processus de conception des systèmes et des applications. Elle vise à anticiper et à résoudre les problèmes de sécurité dès les premières étapes du développement, réduisant ainsi les vulnérabilités potentielles. Enfin, il faut évaluer régulièrement la sécurité des infrastructures informatiques.

Les Pentests, simulations d'attaques réalistes, sont recommandés pour évaluer la robustesse d'un système. Une gestion stricte des accès est essentielle, limitant chaque collaborateur à des autorisations nécessaires pour éviter des compromissions. La vérification régulière de la qualité du code est cruciale pour prévenir le Cross-scripting, une technique d'injection de scripts malveillants. En cas de départ d'un collaborateur, changer ou fermer ses accès de manière proactive est impératif pour réduire les risques potentiels liés à d'anciens utilisateurs et renforcer la sécurité globale de l'entreprise.

Conseils bonus : en cas de fuite de données, restez honnêtes et transparents

Nul n’est complètement invulnérable à une possible attaque. Pour accéder à cette ressource précieuse que sont les données, les hackers ont recours à des techniques de plus en plus sophistiquées.

Lorsqu’elles sont pertinentes et bien exploitées, les données se révèlent être un levier puissant pour accroître les performances, notamment pour les PME. Cependant, les réglementations telles que le RGPD rappellent aux entreprises leur devoir d’honnêteté et de transparence vis-à-vis de leurs clients. En imposant la transparence, le consentement et l’honnêteté, ces normes visent à établir un lien de confiance entre les entreprises et leurs utilisateurs. Dans ce cadre sain, les PME pourront, elles aussi, profiter des nombreuses opportunités promises par l’économie de la donnée.

Par Vincent Demonchy, Directeur Recherche et Développement de KIZEO