Cybersécurité : quelques bons conseils pratiques…
Cybersécurité : protégez votre appareil informatique
Ne négligez pas les mises à jour ! Il est important de mettre régulièrement à jour votre appareil informatique (téléphone portable, tablette, ordinateur, etc.), notamment en ce qui concerne vos logiciels anti-virus. Respectez les conditions d’utilisation et faites attention avant de télécharger un logiciel.
Verrouillez les accès ! Il est également important de verrouiller l’accès à votre profil utilisateur afin de protéger vos documents en mettant en place un mot de passe (le plus complexe possible).
Sauvegardez vos fichiers ! N’oubliez pas de sauvegarder régulièrement vos fichiers dans des supports suffisamment sécurisés. À ce sujet, on peut facilement rechigner à sauvegarder des fichiers dans le cloud ou des supports extérieurs à l’entreprise, et préférer une sauvegarde interne. Cela étant, et spécialement dans les petites structures qui ne sont pas nécessairement dotées d’une infrastructure informatique suffisante, il ne faut pas oublier que les différents cloud proposés par des entreprises spécialisées sont souvent bien mieux sécurisées que des petits serveurs internes.
Pour trouver un prestataire de confiance, il est possible de se référer à la qualification SecNumCloud. Ce visa de sécurité, mis en place initialement en 2016, a été actualisé plusieurs fois afin de garantir que les prestataires certifiés offrent un niveau de sécurité des plus élevés concernant les données hébergées.
Cybersécurité : protégez les achats en ligne
2 types de site web à connaître ! Pour mémoire, il existe 2 sortes de sites web : ceux qui commencent par « http » et ceux qui commencent par « https ».
Url commençant par « http » : vigilance ! Il est recommandé de ne pas accepter de créer un compte sur un site web dont l’url commence par « http » car les informations peuvent être interceptées par des tiers. Le sigle « https » signifie que l’entreprise a doté son site web d’un certificat de sécurité.
Le saviez-vous ?
La technologie « 3D secure » est un outil supplémentaire pour votre sécurité. Il permet de valider un achat sur le web en obtenant un code par sms.
Cybersécurité : protégez vos mots de passe
Vigilance ! Les sites web peuvent connaître des problèmes de sécurité qui permettent à des tiers d’accéder aux mots de passe. C’est pourquoi il est recommandé de varier vos mots de passe : 1 compte = 1 mot de passe.
Multiplier les mots de passe : un casse-tête. Multiplier les mots de passe peut être source de difficultés, d’autant que certains sites web peuvent imposer le recours à un nombre de caractère minimal ou à une majuscule. Comment faire pour retenir tous ces mots de passe ? Il peut être opportun de recourir à un logiciel de gestion des mots de passe. Une autre méthode, plus artisanale, consiste à noter les mots de passe sur un carnet.
Cybersécurité : protégez votre messagerie
Vigilance ! Si une adresse électronique permet d’échanger très facilement, c’est également par ce biais que des courriers électroniques frauduleux sont envoyés par des escrocs afin de récupérer des informations confidentielles (code d’accès, informations bancaires, etc.).
Attention aux mails frauduleux ! Il faut faire attention lorsque vous recevez un mail vous réclamant des données confidentielles. Notez que ces mails vont tenter, souvent, de vous faire croire que l’expéditeur est un organisme public.
Comment réagir ? C’est ce qui a amené l’administration fiscale à rappeler qu’elle ne réclame jamais de coordonnées bancaires ou d’informations personnelles par mails et que vous :
- ne devez pas répondre à ces mails ;
- ne devez pas cliquer sur les liens à l’intérieur du mail (ils peuvent vous rediriger vers un faux site) ;
- devez supprimer le mail de votre boîte aux lettres.
Signalez l’escroquerie ! Pour tout renseignement ou pour signaler une tentative d’escroquerie, l’administration fiscale précise que vous pouvez :
- vous rendre sur le site web « internet-signalement.gouv.fr » ;
- appeler par téléphone le numéro vert gratuit suivant mis en place par le Gouvernement : 0 805 805 817.
Cybersécurité : utilisez les réseaux sociaux avec précaution
Vigilance ! Les réseaux sociaux sont un formidable outil de communication. Pour autant, il faut être prudent dans leur usage et dans le contenu de ce qui est communiqué.
Qui communique avec vous ? Il est important de vous assurer de l’identité de la personne avec qui vous échangez et qui vous réclame des informations. Il existe, en effet, des situations dans lesquelles l’interlocuteur va vous mettre la pression, en évoquant une situation d’urgence, afin de vous soutirer des informations confidentielles qu’il pourra utiliser, bien souvent contre vous.
Cybersécurité : fuite massive de données personnelles
En cas de fuite massives de données personnelles, sachez que le responsable du traitement de ces données à deux obligations :
- prévenir la CNIL dans les 72 heures après avoir eu connaissance de la fuite des données ;
- informer individuellement les personnes concernées de la publication de leurs données lorsqu’il y a un risque élevé pour leurs droits et libertés ;
Cybersécurité : le point sur les rançongiciels
Le contexte en avril 2021. Les cyberattaques se multiplient depuis ces dernières semaines et peuvent adopter la forme de « rançongiciels », c’est-à-dire de programmes malveillants qui mettent l’ordinateur ou le système d’information de la victime hors d’usage et conditionnent son rétablissement au paiement d’une rançon.
Se prémunir contre les attaques. Selon la CNIL, ce type d’attaque peut être favorisé par divers défauts de sécurité au niveau du système informatique de la victime, parmi lesquels :
- le cloisonnement insuffisant du réseau entre les différents serveurs et entre les postes des utilisateurs et les serveurs ;
- l’absence de dispositif de détection automatisée de chiffrement massif de fichiers ;
- l’absence de sauvegarde de leurs données par les organismes concernés.
Les conseils de la CNIL. À cette fin, la CNIL rappelle qu’il est préconisé que le responsable de traitement de données mette en place toutes les mesures techniques et organisationnelles appropriées pour renforcer le niveau de sécurité des données, ainsi que la confidentialité, l’intégralité et la disponibilité des systèmes d’information informatiques.
En pratique. Ces mesures de précaution se matérialisent notamment par :
- la réalisation de sauvegardes « hors ligne » des données, afin de permettre la restauration du système informatique sur des bases considérées comme « saines » en cas d’attaques ;
- la sensibilisation du personnel aux risques de sécurité et aux bonnes pratiques à suivre dans l’hypothèse d’une cyberattaque, notamment aux fins d’éviter le téléchargement de fichiers malveillants reçus par voie de « hameçonnage », qui est une technique de fraude qui leurre l’utilisateur en vue d’obtenir la communication de ses données personnelles ;
- la mise en œuvre d’un mécanisme de détection de l’altération massive des fichiers, en particulier par chiffrement.
En cas d’attaque. En cas de cyberattaques par rançongiciels, la CNIL préconise l’adoption de diverses mesures de protection :
- l’extinction de l’ensemble des machines susceptibles d’être touchées par l’attaque et l’alerte immédiate du service informatique de la structure ;
- le refus de payer la rançon, puisque ce paiement ne garantit pas la restitution des données devenues illisibles et peut être susceptible de favoriser d’autres attaques de ce type ;
- la constitution d’un dossier de preuves relatives à l’attaque, qui peuvent notamment prendre la forme de copies des postes et serveurs touchés et des fichiers chiffrés ;
- le dépôt d’une plainte auprès des services de police et de la gendarmerie, et le recours, si le besoin s’en fait sentir, à un avocat spécialisé en la matière.
À noter. Notez que la mise en relation avec un professionnel spécialisé peut s’effectuer via le site cybermalveillance.gouv.fr.
L’alerte à la CNIL. Dès lors qu’il existe un risque pour la vie privée des personnes, il est impératif de notifier à la CNIL la violation des données informatiques d’un système, que celle-ci soit d’origine accidentelle ou illicite.
Quand ? Cette notification doit être faite dans les meilleurs délais, et au plus tard 72 heures après en avoir pris connaissance.
Pourquoi ? Elle a pour but de permettre à la CNIL de déterminer si les personnes concernées par cette violation de données doivent être averties de l’attaque afin d’être en mesure de prendre les mesures appropriées pour en limiter les effets.
Comment ? L’organisme victime de l’attaque doit donc s’astreindre au respect des étapes suivantes :
- consigner l’incident dans le registre des violations des données ;
- notifier l’incident auprès de la CNIL en cas de risque pour les droits des personnes concernées ou s’il s’agit d’une violation de données sensibles (données de santé, etc.) ;
- informer les personnes concernées de l’attaque en cas de risque élevé, notamment au vu de la nature de la violation et de ses conséquences possibles et leur communiquer l’ensemble des mesures prises pour y remédier et en limiter les conséquences.
Un guide d’accompagnement. Un guide a récemment été publié pour aider les TPE et PME à renforcer leur protection contre la cybermalveillance. Celui-ci propose des recommandations concrètes en matière de sécurité numérique.
=> Consultez le guide de cybersécurité pour les TPE et PME
Pour les professionnels de l’informatique. L’ANSSI met à disposition 3 guides pour éclairer les professionnels de l’informatique sur les choix à faire lors de l’étape de remédiation.
Cybersécurité : faire appel à une entreprise labélisée « ExpertCyber »
Qu’est-ce que le label « ExpertCyber » ? Le label « ExpertCyber » permet aux entreprises victimes de cyberattaques, ou à celles qui souhaitent s’en prémunir, d’identifier facilement les professionnels proposant des prestations de qualité dans le domaine de la sécurité numérique.
Pour qui ? Cette labélisation est ouverte aux entreprises de toute taille proposant des services informatiques à une cible professionnelle et justifiant d’une expertise en sécurité numérique. Il couvre les domaines suivants :
- systèmes d’informations professionnels (informatique, logiciels bureautiques, messageries, serveurs…) ;
- téléphonie (serveurs téléphoniques professionnels) ;
- sites Internet (administration et protection).
Comment ? Les professionnels intéressés par cette labélisation en font la demande via la plateforme : https://expertcyber.afnor.org/. Ils sont ensuite évalués pour s’assurer qu’ils respectent certains critères :
- le professionnel est en conformité administrative et il respecte la réglementation en matière de sécurité des données ;
- le service en sécurité numérique proposé est de bonne qualité ;
- les salariés de l’entreprise sont compétente pour effectuer des services en sécurité numérique.
Cyberattaques : un nouveau dispositif de prévention pour les petites entreprises !
Le contexte. Pour enrayer la diffusion de toute cyberattaque, le Gouvernement a décidé de renforcer les outils de prévention mis à la disposition des entreprises, et notamment des plus petites, qui peuvent se trouver démunies dans ce type de situation.
La mesure. À cette fin, il vient d’annoncer la mise en place d’un nouveau dispositif d’alerte cyber, qui leur est dédié.
Il fonctionnera de la manière suivante : dans le cas où une vulnérabilité ou une campagne d’attaque particulièrement nocive pour les petites entreprises sera identifiée, le dispositif national d’assistance aux victimes Cybermalveillance.gouv.fr et l’Agence nationale de la sécurité des systèmes d’information (ANSSI) rédigeront une notice à destination des dirigeants d’entreprises qui ne sont pas spécialisées dans la cybersécurité.
Et après ? Cette note sera transmise aux organisation interprofessionnelles (MEDEF, CPME et U2P), qui seront à leur tour chargées de la relayer le plus largement possible aux entreprises avec lesquelles elles sont en contact.
L’objectif est de garantir une circulation de l’alerte plus rapide, afin de permettre aux entreprises de mettre en place les actions immédiates requises pour protéger leur activité.
Notez qu’un exemple de notice d’alerte est disponible ici.
Cybersécurité : une nouvelle plateforme pour déposer plainte
Comment ? Si vous êtes victime d’une escroquerie ou d’une arnaque sur internet vous pouvez désormais déposer une plainte en ligne via la plateforme France Connect, ou par le biais d’un signalement sur le site service-public.fr.
Pour quels agissements ? Les situations pouvant être dénoncées en ligne via ce dispositif sont :
- les piratages de boites mails ou de messageries instantanées (réseaux sociaux par exemple) ;
- les chantages en ligne telles que les menaces portant atteintes à l’honneur contre une somme d’argent et les rançongiciels (déblocage d’un logiciel contre de l’argent) ;
- les escroqueries à la romance ou « romance scam » (le fait de prendre une fausse identité pour gagner l'affection d'une personne pour lui soutirer de l'argent) ;
- les escroqueries via les petites annonces ;
- les fraudes sur les sites de vente.
Un Cyberscore pour certaines plateformes Web !
De plus en plus de médias se font l’écho de failles de sécurité et d’affaires de vol de données personnelles sur internet.
Pour permettre aux internautes de mieux connaître la sécurité des sites Web qu’ils fréquentent, un « Cyberscore » (construit sur le modèle du Nutriscore) va être mis en place à partir du 1er octobre 2023.
Concrètement, les opérateurs de plateformes web concernés vont devoir réaliser un audit de cybersécurité de leurs sites et, au vu des résultats, devront afficher un visuel « Cyberscore ».
Cet audit doit être effectué par des prestataires qualifiés par l’Agence nationale de la sécurité des systèmes d’information (ANSSI).
Notez qu’un décret à venir viendra prochainement lister les plateformes, réseaux sociaux et sites de visioconférence concernés par le « Cyberscore ». De même, des précisions concernant les critères pris en compte par l'audit de sécurité seront bientôt publiées. À suivre…
À retenir
La cybersécurité réclame tout d’abord de la vigilance : variez les mots de passe, vérifiez l’identité de votre interlocuteur, ne communiquez pas vos informations confidentielles, etc.
Si vous êtes victime d’un indicent de cybersécurité, vous pouvez vous rendre sur le site cybermalveillance.gouv.fr. Un diagnostic précis de votre situation sera établi et vous serez mis en relation avec des spécialistes compétents proches de chez vous.
- Communiqué de presse de la CNIL du 24 février 2021 (Cyberattaque et fuites massives de données personnelles)
- Communiqué de presse de la CNIL du 1er mars 2021 (Cyberattaque et fuites massives de données personnelles)
- Communiqué de presse de la CNIL du 2 mars 2021 (Cyberattaque et fuites massives de données personnelles)
- Actualité du site de la CNIL du 23 avril 2021 (attaques par rançongiciels)
- Actualité du site cybermalveillance.gouv.fr du 17 février 2021 (label « ExpertCyber »)
- Actualité du site vie-publique.fr du 4 juillet 2021(cybersécurité pour les TPE/PME)
- Communiqué de presse du Gouvernement du 20 juillet 2021 (dispositif de prévention pour les petites entreprises)
- Actualité du site service-public.fr du 14 mars 2022 (dépôt de plainte en ligne)
- Actualité ANSSI du 9 mars 2022 : « L’ANSSI actualise le référentiel SecNumCloud »
- Actualité de la CNIL du 5 avril 2023 : « Cybersécurité : la CNIL agit pour le développement de solutions respectueuses du RGPD »
- Fiche de France Num du 23 juin 2023 : « Comment porter plainte en cas de cyberattaque de votre entreprise ? »
- Loi n° 2022-309 du 3 mars 2022 pour la mise en place d'une certification de cybersécurité des plateformes numériques destinée au grand public
- Actualité de l’ANSSI du 16 janvier 2024 : « L’ANSSI publie sa collection de guides Remédiation »