Le 13 février dernier, 130 personnes assistaient à une réunion de travail « Cybersécurité et RGPD », organisée par Aviva Assurances et DPO Consulting Bourgogne Franche-Comté.
Un rendez-vous de sensibilisation plus que nécessaire à l’heure où les cyberattaques concernent plus de 70% des TPE-PME mais où 83% d’entre elles se sentent peu ou pas exposées aux risques cyber ; et ce malgré une hausse exponentielle de la fréquence et l’intensité des attaques.
Florilège des interventions pour bien comprendre les enjeux de la cybersécurité et du RGPD pour les TPE et PME.
Mettre en place des mesures de sécurités
Prévention, remédiation, réaction à la crise, Véronique Brunet, représentante de l’ANSSI, a mis l’accent sur les bonnes pratiques en rappelant que 80% des attaques auraient pu être évitées par l’application de mesures simples de sécurité. A mettre au premier plan de ces mesures, la sensibilisation des collaborateurs : l’humain étant toujours le maillon faible de l’informatique.
Et si nombre d’entreprises pensent encore que les cyber-attaquants s’intéressent uniquement aux grandes entreprises, la crise informatique récente ayant touché une cinquantaine d’entreprises en région devraient les persuader du contraire.
Se tenir informé des attaques en cours
Au cœur de cette récente crise informatique, les experts de la Gendarmerie rappellent que le réseau « Alerte Sécurité Entreprise » délivre justement une veille sur les nouvelles cyber-malveillances et fait remonter les risques aux quelques milliers d’entreprises inscrites à cette liste de diffusion. Autre exemple marquant, le 16 avril 2019, jour de l’incendie ayant touché Notre-Dame de Paris, avec une arnaque sous forme de cagnotte dédiée à la reconstruction du monument.
Agir pendant la crise
Ces actions de phishing de plus en plus régulières font partie des 3 failles majeures expliquant 80% des attaques, avec les accès distants et sites internet non sécurisés. Au-delà des actions de prévention, l’autre enjeu de la cybersécurité consiste à limiter l’impact et la durée des incidents. Ainsi la société Inquest rappelle que sortir de la crise n’est pas si simple. D’une part car les modes opératoires évoluent, au vol de données contre rançon s’ajoutant la menace de la diffusion des données, rendant la sauvegarde insuffisante. D’autre part car le mythe d’un décryptage rapide des fichiers cryptés de manière malveillante est faux : il n’y a à ce jour pas de solution technique existante dans un délai raisonnable pour la survie de l’entreprise. D’où l’importance de concevoir la sécurité de son système d’information dès le départ.
Quid des assurances dédiées à la cybersécurité ?
S’ajoutant à la prévention et à la gestion de crise, l’assurance cyber est un outil supplémentaire pour se protéger en cas d’attaque, encore trop peu utilisé par les entreprises. Le Professeur universitaire Laurent Chrzanovski explique pourquoi.
Premier obstacle, une mauvaise compréhension des risques encourus et de la couverture. La Cyber assurance étant encore très récente sur le marché, il y a à la fois un problème de transparence des contrats, et une mauvaise compréhension de la part des assureurs eux-mêmes. Sur ce point les Etats-Unis sont plus avancés, puisqu’ils proposent, via Homeland Security, une explication approfondie du fonctionnement et des bénéfices d’une cyber assurance avec une analyse neutre de la qualité des assureurs, construite à partir des avis utilisateurs.
Deuxième obstacle, un marché français de l’assurance en retard qui n’offre pas le même niveau de garanties qu’à l’international. La France faisant partie des pays non standardisés et sous-assurés, les entreprises sont moins bien protégées. Les entreprises « sûres » étant particulièrement discriminées, ces dernières ont tendance à se tourner vers des assurances anglosaxonnes qui regardent, elles, la qualité globale du système de sécurité.
Pour lever ces obstacles et faire évoluer le système, il faut remplacer les normes de compliance pour se concentrer en priorité sur l’efficacité de la résilience de l’entreprise. Un dialogue Etat – Citoyens – Entreprises est indispensable, et se met justement en place depuis deux ans en France. Laurent Chrzanovski souligne l’implication des acteurs bisontins sur ce sujet, traité deux fois en 6 mois, là où d’autres écosystèmes ne s’y intéressent pas encore.
Le chef d’entreprise : responsable ou victime ?
Avec l’application du RGPD, les dirigeants font face à l’un des rares règlements qui fait appel tant à la responsabilité civile, pénale qu’administrative. Le chef d’entreprise peut ainsi être à la fois victime d’une cyber-attaque et responsable s’il n’a pas protégé ses données correctement.
Ce changement de paradigme transforme les organisations en gardiennes de la donnée, et non plus en simple propriétaire. De par sa transversalité, le RGPD peut ainsi être vu comme un véritable outil pour les entreprises : registre de traitement, sécurisation des logiciels, authentification des utilisateurs, politique des droits d’accès, contrat de travail, contractualisation des relations avec les sous-traitants… tout cela concoure également à construire sa politique de sécurité contre la cyber-malveillance.
Créé il y a 4 ans et spécialisé dans la protection des données personnelles, DPO Consulting observe que les PME et TPE sont de plus en plus impliquées dans la mise en place du RGPD. Ces dernières sont désormais obligées de se mettre en conformité, à la fois pour pouvoir travailler avec les donneurs d’ordre et car la période de tolérance ayant suivi la mise en place du nouveau RGPD est désormais terminée.