in

Cybersécurité : 3 sujets prioritaires que les entreprises devront traiter d’ici 2020 – Par Christophe Faucault, IT Link

RGPD, ransomwares, externalisation des données : entre la législation en pleine évolution, l’explosion des attaques informatiques et l’optimisation des coûts, les entreprises font face à de nombreux challenges où la prise en compte des sujets de cybersécurité devient plus que jamais cruciale.

RGPD : en marche vers mai 2018

La directive européenne sur la protection des données à caractère personnel est devenue le RGPD, un règlement européen qui devra être appliqué de manière systématique par toutes les entreprises et institutions, quelles que soient leur taille ou leur nationalité.

Aucune entreprise n’est épargnée puisque toutes manipulent des données sur leurs salariés ou leurs clients, et toutes devront notamment faire face à la nécessité d’anonymiser ou pseudonymiser ces données privées. En effet, puisqu’il est difficile, voire impossible, de garantir qu’aucune donnée ne pourra jamais fuiter, des mesures doivent permettre de protéger les individus en masquant leur identification.

Pour réorganiser les processus de traitement de ces données sensibles, les entreprises passeront par une première phase d’audit de l’existant suivie d’une phase d’actions qui devra aboutir, avant mai 2018, à la mise en conformité de l’ensemble des traitements afin d’éviter aux entreprises de très lourdes sanctions, jusqu’à 4 % du chiffre d’affaires annuel ou 20 millions d’euros, la somme la plus élevée étant retenue.

En France, la CNIL propose sur son site un guide en 6 étapes pour aider les entreprises à séquencer et organiser ce projet de mise en conformité, il conviendra pour certaines d’entre elles de se faire accompagner pour mener à bien l’ensemble des tâches à réaliser.

« Externalisation des données » doit rimer avec « sécurité »

Afin d’optimiser les coûts d’exploitation des machines, de nombreuses entreprises ont choisi de virtualiser des éléments importants de leur système d’information, d’abord en interne, puis en s’orientant vers l’externalisation. Ainsi, beaucoup de solutions ou services IT des entreprises sont désormais gérés et hébergés par des acteurs tiers externes dans le cadre d’infogérances.

De telles solutions, qu’elles soient ou non dans le cloud, permettent de déléguer à l’infogérant la scalabilité réactive nécessaire et la disponibilité 24/7 des services offerts, mais elle impose également de prendre en compte la gestion du risque et de la sécurité des données externalisées. Il est alors indispensable de définir clairement les responsabilités du client et de son fournisseur et de traiter dans le contrat de la réversibilité, des engagements de service ou encore des accords de non-divulgation.

L’université Carnegie-Mellon élabore depuis une quinzaine d’années le référentiel eSCM qui propose deux modèles symétriques et cohérents pour traiter de ces problématiques de plus en plus prégnantes. Des pratiques complémentaires, à respecter par le client d’une part et par l’infogérant d’autre part, sont proposées qui permettent de garantir l’optimisation de l’externalisation tout en en gérant les nouveaux risques.

Ce référentiel pourra utilement être exploité dans le cadre des nouvelles obligations règlementaires liées au RGPD lorsque des données à caractère personnel sont confiées au sous-traitant.

Ransomwares : la menace s’amplifie

Malgré une couverture médiatique importante et beaucoup de moyens techniques mis en place par les entreprises, les infections par virus restent en tête des incidents de sécurité selon la dernière étude du CLUSIF, notamment celles basées sur des ransomwares, l’actualité récente en témoigne.

Se protéger de ces attaques nécessite de traiter le problème sur plusieurs axes : défense en profondeur, cloisonnement, durcissement, réduction de la surface d’attaque, politique de moindre privilège, détection d’intrusion … mais la principale réflexion à mener reste la sensibilisation des utilisateurs, très souvent à l’origine des incidents de sécurité.

Deux évidences s’imposent qu’il n’est jamais inutile de rappeler. Une faille doit exister pour permettre au malware de pénétrer le système d’information et une vulnérabilité doit être présente pour que le malware introduit puisse compromettre le système infecté.

La prise en compte de ces 2 facteurs passe forcément par la responsabilisation des utilisateurs. Il est essentiel de leur rappeler de ne pas connecter de clé USB externe ou cliquer sur les liens ou pièces jointes dans les mails suspects pour ne pas créer la brèche par où s’introduira le virus, mais aussi de ne pas annuler ou reporter les mises à jour correctives proposées pour réduire au maximum les vulnérabilités exploitables.

Des messages simples que les directions informatiques doivent marteler jusqu’à créer une véritable culture sécurité dans l’entreprise, indispensable complément aux mesures et solutions de protection techniques.

Face à ces problématiques sécuritaires qui se multiplient, les entreprises doivent faire de la cybersécurité une priorité. Revoir les processus, responsabiliser les salariés, effectuer une veille sécuritaire : ces bonnes pratiques doivent être appliquées au quotidien pour garantir la sécurité des informations traitées. 

Corinne
Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès. Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication. Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.

Written by Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès.
Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication.
Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.