Le nombre de cyberattaques contre les entreprises ne cesse de grimper. Outre les conséquences financières, les entreprises sont confrontées à d’autres problèmes.
Des autres problèmes, comme les nouvelles obligations européennes de protection des données. La formation adéquate du personnel s’avère indispensable. De 2015 à 2016, les cyberattaques ont crû de 68 % ! En dépit de cela, bon nombre de responsables de PME ne se sentent que peu concernés par le phénomène. Pire : environ un quart des PME ne disposent même pas d’un logiciel d’antivirus ! Sans doute, pensent-elles que personne n’a envie de les cibler.
Tous concernés
Mauvais calcul : beaucoup de cybercriminels disposent d’outils automatisés qui ciblent sans distinction les failles des nombreux systèmes informatiques. Les escrocs peuvent notamment s’intéresser à la capacité de calcul de l’infrastructure d’une entreprise : de manière voilée, ils en prennent ensuite le contrôle, en tout ou en partie, pour servir de support, par exemple, à une attaque par « déni de service » qui rend inaccessibles les sites web.
La directive du GDPR impose aux entreprises le signalement aux autorités tout incident de sécurité ayant mené à la perte ou à un accès non autorisé aux données personnelles.
Menaces ciblées
D’autres formes d’attaques sont plus personnalisées. C’est le cas du ransomware qui va crypter les données d’un utilisateur, donc les rendre inaccessibles, tant qu’une rançon n’a pas été versée. Autre exemple : le phishing, qui permet de capter des données sensibles comme des mots de passe ou des données bancaires via des sites web bidons. Certains fraudeurs tentent même de se faire passer pour des fournisseurs auprès des services comptables ou financiers des entreprises pour se faire verser le montant de factures de pacotille. Des pirates informatiques font également main basse sur le carnet d’adresses de personnes en hackant leur smartphone.
Obligation légale
Outre les pertes financières, les dégâts en termes d’image et les tracas légaux ne sont pas négligeables à la suite d’un acte malveillant. Entrée en vigueur en mai dernier, la directive générale sur la protection des données (GDPR) vise à parer certaines situations. Elle impose aux entreprises de toute taille de signaler aux autorités tout incident de sécurité ayant mené à la perte ou à un accès non autorisé aux données personnelles stockées dans leurs systèmes, qu’il s’agisse de celles de leurs propres travailleurs, de leurs clients, de leurs fournisseurs, etc.
Mettre en place des logiciels et mesures technologiques de protection ne suffit pas !
Les entreprises doivent également prévenir les personnes concernées de cet incident et mettre en place toutes les mesures nécessaires pour prévenir tout nouveau problème. Une PME sous-traitante d’une grande entreprise devra par exemple la prévenir de la brèche de sécurité éventuelle.
Conscientiser et former
Mettre en place des logiciels et mesures technologiques de protection ne suffit pas ! Il faut également établir un règlement de sécurité clair et précis à destination des employés. Dans cette optique, la conscientisation et la formation du personnel, management compris, sont incontournables. Dans la grande majorité des cas, ce sont des employés eux-mêmes qui fournissent aux criminels les informations dont ils ont besoin pour perpétrer leurs méfaits. Au-delà de l’obligation de désigner un responsable de la protection des données au sein de l’entreprise, il faut former le personnel à éviter les comportements imprudents et à adopter les réactions appropriées en cas d’incidents.