Trois exemples où des directeurs de PME se bercent d’illusions avec une fausse sécurité informatique

La plupart des PME font des efforts pour assurer la protection et la sécurité des données. Toutefois, des responsabilités peu claires compromettent la protection contre la perte de données et les cyberattaques. Trois exemples – et trois solutions.

Les données sont régulièrement sauvegardées dans le backup, le partenaire informatique effectue les mises à jour et l’accès au stockage de données dans le cloud est règlementé par différents droits d’accès. Tous les feux sont au vert, donc? Examinons cela de plus près et démasquons les erreurs qui anéantissent les mesures de sécurité bien intentionnées. Les trois exemples suivants ont quelque chose en commun: l’échec n’est pas dû à la technique, mais à des erreurs d’appréciation d’ordre organisationnel.

Cela vaut la peine d’y regarder de plus près, car les directeurs et les propriétaires sont légalement responsables de la protection et de la sécurité des données dans leur PME. Cette responsabilité et le risque que cela représente ne peuvent pas être transférés aux collaborateurs, ni à des prestataires informatiques, ni à une compagnie d’assurance. Par ailleurs, la nouvelle loi sur la protection des données (nLPD), qui entrera en vigueur au 1^er septembre cette année, augmente les exigences en matière de sécurité des données et constitue une condition préalable à la protection des données. Le moment est donc opportun pour examiner, remettre en question et améliorer les mesures déjà prises. Cet article présente les problèmes possibles et propose des solutions sous la forme d’une check-list.

Erreur n^o 1: les données sont sécurisées grâce au back-up

La PME sauvegarde régulièrement ses données commerciales importantes – documents Office, bases de données CRM et ERP, manuels et autres informations numériques importantes. Mais en cas d’urgence, il faut s’assurer que les données puissent également être restaurées. En cas d’attaque réussie, les cybercriminels ne doivent pas avoir accès aux back-ups, car ils pourraient les crypter et les rendre inutilisables ou les publier.

Réfléchissez à votre stratégie de sauvegarde si l’une de ces affirmations s’applique à votre situation:

• La sauvegarde est accessible en permanence depuis un PC, car elle se trouve sur un disque dur externe ou sur un serveur d’accès au réseau.
• La sauvegarde n’est pas cryptée.
• Il n’y a aucun contrôle pour vérifier si la restauration fonctionne et si les supports de sauvegarde sont disponibles et lisibles.

Erreur n^o 2: les droits d’accès et les comptes personnels protègent nos données

Cette affirmation est en principe vraie. Mais dans la réalité, la situation est souvent différente, notamment parce que tout le monde a accès à tout. Ce qui est peut-être conçu comme un gage de confiance envers les collaborateurs facilite grandement le travail des cybercriminels.

Ici aussi: si l’une des affirmations suivantes s’applique à vous, vérifiez les autorisations:

• Tous les collaborateurs ont accès à l’ensemble de l’archivage des documents, à quelques exceptions près comme la comptabilité et les RH.
• Lorsque des collaborateurs quittent l’entreprise, les comptes restent actifs pendant un certain temps.
• Pour certains services cloud ou l’intranet, plusieurs collaborateurs utilisent le même compte et le même mot de passe.

Erreur n^o 3: nous effectuons régulièrement des mises à jour

Le problème réside dans la définition de «régulièrement»: installez-vous les mises à jour de sécurité immédiatement après leur sortie, ou y a-t-il des intervalles fixes auxquels votre PME ou le partenaire informatique met elle/lui-même à jour les postes de travail et les serveurs? En cas de failles de sécurité graves dans Windows et les applications Office (Microsoft 365), vous offrez aux cybercriminels un créneau horaire très apprécié pour exploiter les failles en retardant les mises à jour.

Vous le savez déjà: si l’une des affirmations suivantes s’applique à vous, remettez en question la stratégie de mise à jour:

• Nous (ou le partenaire informatique) procédons à des mises à jour à intervalles définis.
• Nous avons des systèmes en service pour lesquels il n’y a plus de mises à jour de sécurité.
• Nous ne pouvons pas mettre à jour certains systèmes parce que le logiciel qui fonctionne dessus est trop ancien pour les systèmes d’exploitation plus récents.

Check-list: questions au partenaire informatique pour renforcer la sécurité informatique

De tels problèmes de sécurité sont généralement involontaires. Ils sont dus au fait que les responsabilités ne sont pas clairement définies entre la PME et le partenaire informatique, à une documentation insuffisante ou à la pression sur les coûts des prestations de services informatiques. Les mises à jour rapides, par exemple, nécessitent des interventions plus fréquentes de la part du partenaire ou des spécialistes informatiques. Et les mises à jour en sont un bon exemple: la sécurité informatique est un processus continu qu’il convient de remettre en question et d’adapter en permanence.

Cela vaut la peine de se pencher de plus près sur la sécurité informatique et de clarifier certains points. La transparence concernant les tâches et les responsabilités vous montre où en est votre PME. Des mesures de sécurité adaptées vous permettent de réduire les risques d’une cyberattaque ainsi que l’atteinte à la réputation et les interruptions d’activité qui y sont associées. Un plan d’urgence élaboré et communiqué réduit les conséquences d’une attaque potentielle.

Cette check-list résume les points importants dont vous pouvez discuter avec votre partenaire informatique afin de professionnaliser ensemble la sécurité informatique:

1. Données et applications critiques pour l’entreprise: de quoi avez-vous impérativement besoin pour les gérer? Cela vous donne une idée sur la manière de classer les mesures de sécurité informatique par ordre de priorité.
2. Description des prestations des contrats de service: quelles tâches et responsabilités y sont règlementées? Par exemple, le cryptage des back-ups, l’intervalle de mise à jour, la gestion des utilisateurs ou le temps de réaction en cas de panne sont-ils consignés?
3. Documentation: existe-t-il une check-list standardisée pour les travaux d’entretien? Les tâches effectuées font-elles l’objet d’un protocole? En tant que directeur(trice), pouvez-vous connaître l’état actuel de votre infrastructure informatique en toute transparence grâce à la documentation?
4. Security assessment: vous avez besoin d’y voir plus clair sur l’état actuel de votre sécurité informatique? Un assessment vous permet d’obtenir une description détaillée de l’état de votre infrastructure et de planifier d’éventuelles mesures d’optimisation basées sur les faits.
5. Frais supplémentaires: comment les prestations supplémentaires sont-elles réglementées et facturées? Cela inclut par exemple le remplacement imprévu de matériel ou l’adaptation de règles de firewall en dehors de la maintenance convenue.
6. Plan d’urgence: et pour finir, une conclusion à la fois positive et importante: les mesures d’urgence fonctionnent-elles en cas de perte de données ou de cyberattaque? Cela implique de tester des mesures de sécurité préventives telles qu’un back-up ou la défaillance de composants de réseau redondants avant qu’un incident ne se produise.

Le contrôle et l’adaptation réguliers des mesures de sécurité informatique réduisent le risque de perte de données et de cyberattaques réussies, et donc aussi le risque d’interruptions d’activité. En outre, la sécurité informatique constitue un élément central des directives de la nouvelle loi fédérale sur la protection des données, qui responsabilise la direction à l’égard de ses collaborateur(trice)s. La nLPD prévoit une responsabilité personnelle et des amendes correspondantes en cas d’infraction. Une sécurité informatique accrue vous permet de réduire le risque de tels incidents et de vous protéger, vous et vos collaborateurs.