Cyber protection & sécurité des données : nouveaux enjeux des équipes finances
)
Publié le 7 février 2018
)
La sécurité des données a fait son immersion dans la sphère publique depuis plusieurs années face à l’explosion de la menace informatique et la multiplication des dispositions réglementaires en la matière.
En 2016, 80% des entreprises françaises ont été victimes d’un piratage ou d’une tentative de piratage de leurs systèmes informatiques. Les entreprises sont dorénavant sous la pression constante des cyber-attaques.
Cela est notamment dû à l’augmentation importante de la quantité de données personnelles gérées et contenant un caractère stratégique. Qu’elles soient du phishing ou du ransomware, les attaques informatiques menacent la survie des entreprises, et la sécurité de leurs clients. Face à ce phénomène de grande ampleur, le gouvernement français et le parlement européen bâtissent de nouveaux textes pour règlementer la gestion des données.
Les Responsable Financier et le département IT sont souvent aux avant-postes pour la gestion des risques. Plus les menaces et les contraintes législatives sont importantes, plus leurs responsabilités devient capitale.
I - Quels sont les nouveaux enjeux de la sécurité des données ?
Que faire face à la recrudescence des attaques informatiques ? Commençons d’abord par identifier la manière dont les hackers extérieurs procèdent le plus souvent.
Le phishing (ou hameçonnage) est la méthode la plus populaire. Elle consiste à infiltrer vos systèmes données en vous envoyant un email contenant une pièce jointe frauduleuse. Encore facilement détectables il y a quelques années, les hackers ont largement perfectionné leurs méthodes et nombreux sont les salariés n’arrivant plus à déceler les tentatives de fraudes. Le ransomware (rançongiciel) est un programme malveillant contaminant votre ordinateur et menaçant de détruire vos systèmes d’information, à moins de payer une somme importante à votre ravisseur. Vous l’aurez compris, un simple mail anodin suffit désormais pour prendre le contrôle des systèmes informatiques de toute votre entreprise.
D’autres méthodes extérieures existent comme l’attaque par déni de service (DDoS) qui permet de saturer un serveur informatique pour empêcher son fonctionnement et le détruire. Le cross-site scripting (XSS) consiste à injecter du contenu malveillant sur la page d’un site internet contaminant ainsi tous ses visiteurs. Enfin, le Cheval de Troie prend l’apparence d’un logiciel en apparence légitime, et qui propage des programmes nocifs dans tout votre système informatique.
Mais qu’en est-il des failles internes à votre entreprise ? D’après une étude du cabinet Deloitte, 63% des incidents de sécurité proviennent d’un employé actif. Certains salariés mal intentionnés en profitent parfois pour accéder à des données confidentielles, ou tentent de détourner des fonds.
Face à ces nouveaux phénomènes liés à la transformation digitale, les parlements nationaux et le parlement européen ont élaboré plusieurs textes pour obliger les entreprises à élever leurs standards de sécurité.
II - Quelles sont les obligations imposées par la loi ?
Se mettre en conformité n’est pas toujours simple, surtout pour les petites entreprises disposant de peu de moyens et de solutions plutôt rudimentaires.
Le dernier texte portant au plus haut les exigences envers les entreprises est le Règlement général sur la protection des données (RGPD), voté par le Parlement Européen et applicable à compter du 25 mai 2018. D’ores-et-déjà 75% des entreprises pensent ne pas arriver à remplir toutes les conditions imposées par le RGPD dans les délais impartis (d’après Les Échos). Parmi les mesures à mettre en œuvre, nombreuses sont les exigences de transparence : tout citoyen qui le réclame a le droit d’accès à ses informations personnelles détenues par l’entreprise ; le droit à la rectification ; et le droit à l’effacement de ses données. Le texte compte 99 articles au total, et il s’applique à toutes les entreprises européennes, ou possédant des données personnelles collectées en Europe sans distinction de taille ni secteur d’activité. A ce jour, 91% des entreprises déclarent avoir entamé leur processus de mise en conformité avec le RGPD.
La Directive sur les services de paiement 2 est en vigueur depuis le 1er janvier 2018. Elle impose aux banques et aux prestataires de paiement de permettre à des tiers tels qu’Apple Pay ou aux agrégateurs de paiements tels que Paypal ou Bankin d’accéder aux données personnelles contenues sur les comptes clients. Ce nouvel environnement doit permettre l’essor des services de paiement en les encadrant légalement. Pour autant, la DSP2 a permis d'autres avancées telles que l’intégration des opérations de paiement dans lesquelles une seule des parties se situe dans l'UE ou bien l’authentification forte des clients pour se connecter à leurs comptes de paiement en ligne.
Enfin, les utilisateurs du réseau de traitement des paiements internationaux SWIFT sont désormais tenus d’adopter de nouvelles procédures en cas d’incident. Ils doivent également contrôler plus drastiquement les accès, la circulation des données et publier une auto évaluation annuelle de respect des normes.
III - Quelles sont les solutions pour répondre à ces nouvelles obligations ?
Mettre en œuvre ces multiples changements nécessite une organisation performante, et des moyens parfois lourds à supporter pour les petites structures. Chaque entreprise peut commencer en désignant un pilote pour coordonner ses actions. Il s’agit souvent du Responsable administratif et financier, ou d'une personne en charge de l'IT.
La première étape consiste à cartographier les flux et les processus de traitement d’informations des données personnelles de l’entreprise en élaborant un registre de traitement. Il doit permettre de hiérarchiser les actions à mener en fonction de leur niveau de risque pour la sécurité de l’entreprise. Mener une analyse d’impact sur la protection des données pour chacune des failles détectées permettra de les résoudre le plus rapidement possible. Créer de nouveaux processus internes qui garantissent la prise en compte des enjeux de cyber sécurité est utile sur le long terme.
Enfin, veillez à rester informés des évolutions législatives et des nouveaux moyens à la disposition des entreprises pour renforcer la sécurité de leurs systèmes informatiques. En effet, des solutions Cloud et Saas performantes existent déjà et permettent d'améliorer la protection, le stockage et le traitement des données. Vous pouvez également stocker vos données sur des serveurs français ou au sein de l'UE, elles offrent un niveau de sécurité accru, ce qui en en fait une solution très appréciée des RAF depuis plusieurs années.
Parce que la sécurité d’une entreprise est l’affaire de tous, former les salariés à la prévention des risques informatiques est absolument nécessaire dans le contexte actuel. Une impulsion claire doit être envoyée par le top management, et le RAF (ou le service IT) est souvent préposé pour jouer le rôle de coordinateur. Celui-ci peut proposer des formations, e-learning ou l’adoption d’un dispositif de gestion des risques en se référant aux exigences de la norme ISO 27001 par exemple. Enfin, le recrutement de collaborateurs possédant des connaissances solides en IT est une solution pérenne pour s'assurer de la bonne prise en main de ces enjeux sur le long terme.
La sécurité des données et la protection contre les cybers-attaques sont autant de nouveaux défis apparus très rapidement avec la transformation numérique. Se doter des solutions les plus performantes et se tenir toujours informé des évolutions de la législation n’est plus une simple hypothèse, mais un enjeu vital pour toutes les entreprises européennes.