Une étude menée par le cabinet Forrester Consulting pour Tenable révèle que le télétravail est désormais une source de cyberattaques. Les projets informatiques lancés en urgence pendant la crise sanitaire ont donc accru le risque. Du point de vue du RGPD, le niveau de sécurité de l’entreprise et la gestion des violations de données sont l’enjeu majeur. On vous en parle sur ce blog.
Le télétravail, un nouveau vecteur de cyberattaques
En avril 2021, le cabinet Forrester Consulting conduit une enquête pour le compte de Tenable intitulée « Au-delà des frontières : l’avenir de la cybersécurité dans le nouveau monde du travail ». A ce titre, plus de 1300 responsables sécurité, dirigeants et employés en télétravail ont été interrogés dans le monde, dont 153 en France.
Le constat est simple. Pendant la crise sanitaire, beaucoup d’entreprises ont pris des décisions en urgence pour rendre possible le télétravail des équipes. Force est de constater que la cybersécurité a été mise de côté. Et ce bien que le confinement aura aussi été une période propice pour faire avancer ce sujet.
La conséquence ? Un élargissement de la surface d’attaque… et une hausse des cybermenaces. 70 % des responsables sécurité et des dirigeants ont attribué les récentes cyberattaques, dont leurs compagnies ont fait l’objet, aux projets lancés pendant la pandémie.
Ce défi s’ajoute à d’autres liés à la transition digitale des entreprises. Car la tendance est à basculer sur le cloud certaines fonctions stratégiques comme les ressources humaines, la comptabilité ou la finance. Ce mouvement aussi apporte son lot de risques.
Les télétravailleurs, une cible facile pour les pirates informatiques
Selon l’étude du cabinet Forrester, 65 % des entreprises sondées déclarent avoir connu une cyberattaque ciblant les télétravailleurs. Avec pour conséquence :
- le vol de propriété intellectuelle (42 %) ;
- des rançongiciels (39 %) ;
- des violations de données (37 %).
Ce n’est pas une surprise. Nous vous avons précédemment expliqué pourquoi il est crucial de vous pencher sur votre niveau de cybersécurité. Les années 2019-20 ont montré une expansion de la menace des cyberattaques.
- Les cyberattaquants ont diversifié leurs cibles. Ils recherchent notamment les infrastructures stockant des données sensibles. Les hôpitaux publics sont donc des cibles de premier choix mais aussi les PME exerçant une activité impliquant la manipulation de données de santé, par exemple.
- L’ingénierie sociale, vecteur de vulnérabilités. L’humain reste le maillon faible de la cybersécurité et les hackers l’ont bien compris. Ils utilisent notamment des techniques pour exploiter nos peurs et nos faiblesses. Le ransomware est donc sans surprise devenu une méthode courante.
Tout ceci explique que la cybersécurité associée au télétravail soit devenu un enjeu phare en 2021.
Former les télétravailleurs, un impératif pour préserver votre cybersécurité
L’étude menée par le cabinet Forrester montre un certain manque de connaissance des règles élémentaires de sécurité à respecter.
Or la priorité jusqu’ici a surtout été de prévoir les ressources de support nécessaires pour répondre aux questions qui ne manqueront pas d’arriver au jour le jour. Bien sûr, ces questions ont concerné les difficultés du quotidien pour utiliser les outils de l’entreprise, pas les mesures de sécurité à appliquer.
Et si votre entreprise réfléchit actuellement à un basculement complet en télé-travail, ces questions de ressources restent très présentes.
Assurer la sensibilisation et la formation du personnel constitue pourtant une des 10 pratiques à mettre en place pour sécuriser ses données.
Il s’agit d’informer les équipes pour qu’elles puissent assurer une bonne hygiène de sécurité. Et ainsi savoir par exemple :
- Comment envoyer des fichiers de données à des tiers autrement que par une pièce non sécurisée par e-mail ;
- Comment se connecter aux bases de données de l’entreprise autrement que par son ordinateur ou son téléphone personnel ;
- Comment réagir en cas de mail étrange invitant à télécharger une pièce-jointe ;
Gérer les violations de données, une priorité
Si votre entreprise détecte une violation de données personnelles, elle sera dans la plupart des cas tenue de la notifier à la CNIL. Ce qu’il s’agisse :
- d’une intrusion non autorisée par un hacker ;
- de l’envoi par erreur d’un fichier de données aux mauvais destinataires ;
- de la mise en ligne des données associées aux comptes utilisateurs des clients…
Le régulateur n’est néanmoins pas dans une approche répressive mais plutôt d’accompagnement des entreprises. La priorité est de s’assurer, en cas de survenance d’une attaque, comment l’entité contient ses effets et fait évoluer sa politique de sécurité.
A ce sujet, l’ANSSI et le Ministère de la Justice ont publié en 2020 un guide sur les rançongiciels. Et face à la multiplication des attaques de ce type, la CNIL a également publié un article.
Pour autant, dans certains cas, la CNIL a prononcé des amendes publiques pour réprimer des manques élémentaires :
- une violation des mesures de sécurité de base (l’absence de chiffrement https, une politique de mots de passe insuffisante…) ;
- l’absence de notification à la CNIL d’une violation pourtant documentée en interne.
L’accompagnement des entreprises n’est donc pas un quitus donné au laxisme.
Conclusion : Élevez le télétravail et la cybersécurité au même niveau de priorité
La mise en conformité RGPD des entreprises inclue l’installation d’une politique de sécurité respectant les standards actuels.
De ce point de vue, la digitalisation en cours des entreprises génère de nouveaux risques parce qu’elle élève la surface d’attaque potentielle. Installé dans l’urgence, le télétravail massif prolonge cette tendance dans un contexte où la sensibilisation à l’hygiène numérique reste insuffisante.
Il est donc essentiel de revoir le plan de sécurité en place. Et ce plan devra aussi traiter le risque de survenance d’une violation de données personnelles. En pareil cas, il sera attendu de savoir enquêter rapidement, notifier la violation au régulateur et prendre les mesures nécessaires pour contenir l’attaque.
Le Data Protection Officer est une ressource intéressante. C’est un des acteurs-clé pour la mise en place d’une politique de sécurité efficace.
Besoin d’aide ? Data Vigi Protection peut vous aider à passer ce cap délicat et à maîtriser le niveau de sécurité de vos traitements de données personnelles.
Article rédigé par Maxime Jaillet
