Le dossier du moisComment se prémunir de la cybercriminalité ?À la suite de la deuxième journée du numérique organisée par l’Ordre des experts-comptables, le Conseil Supérieur a publié dix fiches pratiques pour faire face à la cybercriminalité. Destinées aux experts-comptables, il est possible de s’en inspirer pour faire face à la recrudescence des cyberattaques.
1- « La confidentialité tu garantiras »
La première préconisation de Constance CAMILLERI (SIC n°371 de mars 2018) est de disposer de mots de passe robustes (caractères diversifiés, renouvellement régulier…..) et de ne pas diffuser d’information sensible.
2- « Un contrat de cyber assurance tu souscriras »
Après avoir défini la typologie des risques pouvant être assurés, il convient d’analyser les offres disponibles et les différents préjudices pouvant être subis (dommages immatériels, gestion de la crise et temps passé à la résoudre…)
3- « Une perte ou un vol tu anticiperas »
Afin d’éviter toute perte de donnée liée à une cyber attaque, la sauvegarde régulière sur plusieurs supports est une nécessité. La qualité des supports de sauvegarde ne devra pas être négligée. Une vigilance particulière devra être portée à interdire la conservation de données sur des postes non sauvegardés régulièrement.
4- « De boucliers tu te muniras »
Pare-feu, anti-virus, anti-spams…. Ces outils devront rester efficaces et donc être mis à jour régulièrement.
5- « Aux cyber-attaques tu réagiras »
Dans son article, Constance CAMIMLLERI préconise « d’adopter une méthodologie de traitement du risque le jour de l’attaque : débrancher l’ordinateur du réseau, ne plus utiliser le matériel infecté, porter plainte, ne pas payer de rançon, lancer la récupération des données sauvegardées… »
6- « Le RGPD tu respecteras »
Le RGPD est le règlement général sur la protection des données. Il vise à renforcer l’importance de cet enjeu auprès de ceux qui traitent les données et à responsabiliser les professionnels. Il consacre et renforce les grands principes de la loi Informatique et Libertés, en vigueur depuis 1978, et accroît sensiblement les droits des citoyens en leur donnant plus de maitrise sur leurs données.
En pratique, la plupart des formalités préalables actuelles auprès de la CNIL (déclarations, autorisations) vont disparaître, au profit d’une logique de conformité continue. Les organismes qui traitent des données personnelles devront veiller au respect des textes tout au long du cycle de vie de la donnée. En contrepartie de cette réduction du contrôle en amont, le RGPD renforce les pouvoirs de sanction des CNIL nationales (www.cnil.fr). Dans son article, C. CAMILLERI préconise de désigner dans l’entreprise un responsable des données personnelles et de mettre en place des procédures internes de gestion des risques.
7- « Des supports externes tu te méfieras »
Les supports physiques externes (disques durs externes, clés USB….) doivent conserver un usage strictement individualisé. Il convient de ne jamais utiliser une clé USB abandonnée et de limiter les données transportées par l’intermédiaire de tels supports.
8- « De bonnes pratiques managériales du adopteras »
Là encore les procédures internes doivent être mises en œuvre et respectées par tous les acteurs de l’entreprise ou de l’organisation concernée. De bonnes habitudes de travail devront être adoptées (telle que verrouiller son ordinateur en cas d’absence de son poste) et les process devront être testés.
9- « Les usages tu règlementeras »
Les pratiques de tous les acteurs devront être encadrées par une charte informatique. Les règles et consignes à respecter par chaque utilisateur devront y figurer. Il conviendra de rendre la Charte opposable aux différents acteurs de l’organisation (formalisation de l’acceptation de la Charte, annexe au Contrat de travail…)
10- « Les collaborateurs (et utilisateurs) tu sensibiliseras »
L’implication de tous dans les mécanismes de cyber-prévention est fondamentale : informer, sensibiliser, former et motiver les acteurs en ce sens. De nombreuses informations sont également disponibles sur le site Internet de la CNIL. Ainsi, « les professionnels peuvent d’ores et déjà s’appuyer sur de nombreux outils de préparation et de mise en conformité au RGPD :
• La méthode en 6 étapes pour se préparer permet aux organismes de s’assurer qu’ils ont anticipé et mis en œuvre l’essentiel des mesures nécessaires pour être prêts en mai 2018.
• Le G29 (groupe des CNIL européennes) a déjà adopté plusieurs lignes directrices, qui assurent une compréhension et une interprétation communes des points clés du RGPD au niveau européen. Des lignes directrices relatives à l’autorité chef de file, au délégué à la protection des données, au droit à la portabilité et aux analyses d’impact sur la protection des données (PIA) ont déjà été adoptées. D’autres lignes directrices ont été ou seront adoptées d’ici mai (profilage, notification des violations, transferts, transparence, consentement, etc.) et présentées sur le site de la CNIL.
• Des foires aux questions (FAQ) disponibles sur le site et dans la rubrique « besoin d’aide » permettent aux professionnels comme au public de prendre connaissance, rapidement et simplement, des principales nouveautés issues du RGPD.
• La CNIL met également à disposition des outils pratiques, comme le logiciel PIA, qui facilite la réalisation des analyses d’impact sur la protection des données, ou encore un modèle de registre. Seront aussi mis en ligne prochainement des modèles-type de mentions d’information, de formulaires de recueil du consentement, un formulaire de désignation du délégué à la protection des données, etc.
Outils à venir
• La CNIL prépare activement la rédaction de référentiels pour guider les professionnels dans leurs démarches de conformité. Ces référentiels seront issus des normes déjà adoptées par la CNIL dans les dernières années (autorisations uniques, normes simplifiées, packs de conformité, etc.), sur lesquelles les organismes peuvent d’ores et déjà s’appuyer pour s’assurer que leurs traitements sont légaux. Ces référentiels, sectoriels pour certains, permettront aux professionnels de se prémunir contre des sanctions.
• Concernant les études d’impact, dans un souci de simplification, la CNIL travaille à l’élaboration de deux outils prévus par le RGPD : la liste des traitements obligatoirement soumis à analyse d’impact et la liste des traitements pour lesquels, au contraire, aucune analyse n’est requise. Ces listes permettront aux responsables de traitement de savoir plus aisément s’ils sont ou non soumis à cette obligation. La conformité aux référentiels sectoriels mentionnés plus haut sera prise en compte dans l’élaboration de la liste des dispenses.
• Des actions plus spécifiques à destination de certaines structures ou types d’entreprises. Compte tenu de la complexité particulière du RGPD pour les petites et moyennes entreprises, la CNIL élabore, en partenariat avec la Banque publique d'investissement (BPI), un guide spécialement conçu pour elles. Le « pack TPE-PME » sera disponible dès avril 2018.
De même, la CNIL renforce ses actions à l’égard des start-ups : elle organise à Station F des ateliers de sensibilisation générale et sectorielle au RGPD (santé, fintech, etc.) et développera prochainement une offre de services et d’accompagnement dédiée à ces structures ».