Publicité

Cybersécurité : il faut sensibiliser et responsabiliser chacun

  • ch_feral_schuhl.jpg

    Cybersecurite-sensibiliser-responsabiliser-chacun
    Christiane Féral-Schuhl est avocate et l’auteure, avec Xavier Leonetti, de l’ouvrage “Cybsersécurité, mode d’emploi” (DR)
  • Christiane Féral-Schuhl est avocate et ancienne présidente du Conseil national des barreaux. Elle est également l’auteure, avec Xavier Leonetti, de l’ouvrage “Cybsersécurité, mode d’emploi” (Presses universitaires de France)


    Quelles sont les principales cybermenaces qui pèsent sur les organisations ?

    Les cybermenaces les plus classiques relèvent des formes traditionnelles d’infractions, par exemple l’usurpation d’identité et la fraude à la carte bleue. On trouve également les atteintes au STAD (l’entrée ou le maintien sans droit dans le système de traitement des données) qui permettent à un concurrent de soustraire des données. Certaines pratiques se sont généralisées, à l’exemple des rançongiciels (ransomwares) qui empêchent la victime d’accéder à son système tant qu’elle n’a pas payé une rançon.

    Dans tous les cas, les préjudices financiers sont importants : désorganisation, déploiement de moyens humains et techniques pour remettre en ordre de marche, perte de l’exclusivité d’un savoir-faire… S’y ajoute le risque réputationnel car l’image de l’entreprise attaquée peut être gravement endommagée. C’est dire combien la prévention est importante !


    Vous plaidez pour la mise en place d’une “hygiène numérique”. Sous quelle forme ?

    Il s’agit principalement de petits gestes individuels qui doivent être réalisés au quotidien pour garantir une sécurité efficace.
    Malgré le nombre important de cyberattaques, les réflexes de protection de l’outil de travail individuel ne sont pas encore suffisamment généralisés. L’inattention (ouvrir un fichier attaché à un mail suspect) reste un facteur important de risque (l’introduction d’un virus dans le serveur). Il faut donc sensibiliser et responsabiliser chacun.  


    Que faire en cas de violation des données ?

    Le premier réflexe doit être en tout état de cause de documenter, garder une trace écrite et détaillée de la violation de données (et notamment, le nombre de données et catégories de données violées).

    Le niveau de risque va déterminer les actions à prendre. Le responsable de traitement doit décider si la violation doit être notifiée ou non à la CNIL, selon son appréciation de la gravité à partir des critères prévus par la CNIL. Lorsque la violation engendre un risque élevé, il faut aussi procéder à une notification aux personnes concernées. Tel sera le cas lorsque le responsable de traitement – ou le sous-traitant – est victime d’une cyberattaque, notamment via un rançongiciel, où les données sont rendues accessibles à des tiers non autorisés.

    À lire sur Archimag
    Le chiffre du jour
    1
    est en moyenne signalée toutes les semaines dans les établissements de santé depuis janvier 2021. Les hôpitaux ont subi 27 cyberattaques majeures - qui ont effectué tout ou partie de leurs systèmes d'information - en 2020.
    Publicité