Sensibiliser les collaborateurs : un pré-requis pour la protection des données
Idées & initiatives
Les employés, un maillon clé du système de cybersécurité
Dans un monde qui vit une révolution numérique fondamentale, la question de la sécurité des données se pose de manière poussée. Plus de 50% des entreprises françaises reconnaissent avoir subi des attaques informatiques l’année passée*. Dans le même temps, on estime que plus de 90 % des piratages ont pour porte d’entrée une erreur humaine* – phishing essentiellement et attaques par rebond via un prestataire lui-même piraté.
Pourquoi les employés sont-ils mis en défaut ?
De nos jours, la tendance dominante des attaques informatiques est le piratage qui apporte un gain financier pour le cyber attaquant. Demande de rançon, détournement de virements, revente de données confidentielles : les cas de figure sont nombreux.
Pour mener à bien ce genre de piratages, il est indispensable pour les attaquants d’accéder aux serveurs d’une entreprise. Une manière d’y parvenir est de voler les identifiants d’un employé autorisé – voire de pirater ensuite son téléphone s’il se protège par une authentification à double facteur.
La brèche se trouve ici : à son insu, un collaborateur laisse filtrer ses identifiants ce qui permet au pirate de rentrer dans le système, de l’explorer, d’élever les privilèges (droit d’accès aux serveurs) pour mener à bien son attaque :
- vol de données ;
- cryptage des systèmes ;
- demande de rançon ;
- détournement des coordonnées bancaires d’un partenaire pour voler ses virements ;
- montage de fausse opération pour se transférer de l’argent ;
- etc.
Les stratagèmes habiles des attaquants
Les méthodes utilisées par les pirates sont variées, mais ont toutes un point commun : elles nécessitent un clic sur un lien ou l’ouverture d’une pièce jointe qui va entraîner le collaborateur à révéler ses identifiants ou permettre l’installation d’un programme malveillant.
Il peut s’agir d’un courriel en provenance d’un émetteur de confiance dont l’adresse aura été détournée (collègue, institution, banque, société de livraison…). Cliquer sur le lien mène alors à une copie pirate de site qui demande une connexion avec les identifiants.
La boucle est bouclée : les identifiants sont communiqués au détenteur du faux site. Identité et mot de passe.
Beaucoup d’utilisateurs disposent d’un même mot de passe pour tous leurs accès : l’exploration des connexions possibles devient alors relativement facile pour les pirates.
Parfois, un IoT (une caméra de surveillance, par exemple) n’est protégé qu’avec le mot de passe constructeur, disponible en ligne sur le mode d’emploi du matériel. Plus de cent millions de mots de passe de caméras dans le monde n’ont pas été changés lors de leur installation ; et une caméra connectée suffit souvent à atteindre les serveurs de l’entreprise.
Dans le cas d’une pièce jointe soi-disant légitime (texte, tableau, image, pdf), le clic sur celle-ci l’ouvre et télécharge alors discrètement quelques lignes d’un programme malveillant, qui peut être :
- un virus ;
- un cheval de Troie ;
- un ver (virus permettant de télécharger d’autres applications pirates) ;
- un logiciel permettant de capter les mots de passe lorsqu’ils sont entrés au clavier ou d’explorer le code des applications pour en copier les crédentiels.
Lire un message sans suivre un lien ou sans ouvrir une pièce jointe frauduleuse est normalement sans danger : c’est le clic qui dirige l’utilisateur vers la zone de risque.
Les bonnes pratiques pour éviter les fuites de données
Les services informatiques des entreprises mettent en place divers systèmes de protection :
- cloisonnement des accès ;
- attribution de privilèges (notamment les droits d’administrateur) ;
- surveillance automatisée des flux de données ;
- impossibilité d’installation de logiciel exécutable sans vérification et autorisation spéciale ;
- chiffrement des données stockées et en utilisation ;
- etc.
Cependant, la responsabilité individuelle du salarié est engagée : l’usage des moyens informatiques si pratiques (surtout en déplacement ou à domicile) impose des précautions que seul le salarié peut mettre en œuvre, systématiquement, tous les jours, et tout le temps :
- Ne jamais mélanger usage personnel et usage professionnel d’un même matériel. Un virus téléchargé sur une application grand public, un jeu, une promotion,… sera exploité aussi pour pirater les accès pro.
- Définir des mots de passe forts (complexes, variés, régulièrement changés).
- Utiliser une authentification multi-facteurs : doubler la simple identification par un moyen supplémentaire de confirmation (code envoyé par sms, notification à confirmer,…) A priori, il ne faut faire confiance à personne et à aucune machine – La généralisation du concept de « zero trust » vise à authentifier les matériels et les utilisateurs à chaque demande de connexion.
- Installer un antivirus de grande marque sur les matériels et le maintenir à jour.
Vigilance et bon sens doivent primer : tout message est à vérifier (sms, messageries WhatsApp ou Signal, courriel, lien, pièce jointe…) :
- Vérifier d’abord l’émetteur : connu, inconnu ? Une adresse d’émission complexe et inconnue indique sans doute une origine douteuse. Attention, parfois le pirate change juste une lettre de l’adresse d’une relation ou la remplace par un signe qui ressemble à une lettre correcte : c’est l’indication d’une adresse mail forgée, sans doute à mauvais escient.
- Vérifier ensuite le contenu du message, notamment si un lien « de connexion » est présent. Passer simplement le pointeur de la souris sans cliquer permet de voir (en bas à gauche de l’écran, en général) vers quelle adresse web ce lien pointe. Parfois, elle paraît douteuse : à juste titre.
- Vérifier enfin les pièces jointes : certaines messageries filtrent les pièces jointes en les passant à leur antivirus, mais d’autres laissent tout passer. Un employé protégé, notamment avec un blocage d’installation de tout logiciel, peut télécharger la PJ sans l’ouvrir et la passer ensuite à l’antivirus/antimalware. Même si l’émetteur a l’air légitime ! Ne pas hésiter à prendre contact avec un autre moyen avec l’émetteur pour savoir s’il a bien envoyé un document…
Dernier conseil ? Les collaborateurs ne doivent jamais laisser leurs machines sans surveillance ; il est recommandé de les éteindre ou de les mettre en veille, avec bien entendu un code d’ouverture de session à taper pour les rallumer. Même au bureau…
Il est indispensable de se rappeler que toute sollicitation peut être source de risque, même si elle paraît totalement légitime ; vigilance et action positive de vérification doivent être la règle. Faire confiance, oui, mais cela n’exclut pas le contrôle.
Implémenter et maintenir un état d’esprit de sécurité
Ce n’est qu’avec une bonne sensibilisation – et plus, une bonne formation avec validations des acquis – que l’ensemble des personnels de l’organisation va suivre ces bonnes pratiques :
- posters et nudges de rappel des consignes ;
- formations sérieuses (ne pas se contenter d’un MOOC de quelques heures) ;
- et répétées chaque année en fonction de l’évolution permanente des menaces.
Des bons conseils peuvent être trouvés, techniques auprès de l’ANSSI ou plus accessibles auprès de Cybermalveillance.gouv. Des fiches pratiques et des vidéos didactiques – parfois amusantes – peuvent y être téléchargées.
Sensibilisation des employés à la protection des données : aller un cran plus loin
La sécurité informatique est cruciale pour l’organisation : elle doit être organisée, partagée, acceptée et faire partie des règles de bon fonctionnement de l’entreprise, qui doivent allier engagement et sanction officiellement négociées.
Il s’agit alors de mener une démarche RH de sensibilisation et une négociation avec les partenaires sociaux : via une charte informatique annexée au contrat de travail ou ayant fait l’objet d’un avenant – signé par le salarié concerné, par exemple.
Au-delà de cet encadrement bien conçu, la sécurité informatique de l’entreprise est aussi un facteur de fierté et d’enthousiasme. C’est de nos jours un facteur clé de motivation que d’être irréprochable en matière de sécurité des données.
L’effort en matière de sécurité des données doit devenir un avantage concurrentiel
Il ne faut pas considérer la sécurité informatique comme une source de coûts supplémentaires, mais bien comme un avantage business : les partenaires de l’entreprise doivent se sentir rassurés de savoir que les données qu’ils lui confient sont bien sécurisées ; ils peuvent même l’exiger. Les clients également.
La sécurité des données figure dans les cahiers des clauses particulières des appels d’offres, au même titre que la RSE ou l’impact environnemental.
Au-delà de cette obligation encore rare, c’est un facteur de différenciation notable que l’entreprise peut proposer dans les devis et réponses aux appels d’offres. Valoriser un haut niveau de sécurité et le mettre en avant est un argument fort.
Une solution transparente : le chiffrement
Il existe une manière efficace et exhaustive de protéger ses données contre un mauvais usage : c’est le chiffrement.
Les données sont peut-être piratables, mais ne pourront être utilisées ni divulguées.
Un chiffrement transparent (invisible par l’utilisateur), à la volée (dès qu’un document est créé), immédiat et géré par l’entreprise (c’est-à-dire que le chiffrement ne doit pas être confié au cloud, mais que seule l’entreprise doit disposer des clés de chiffrement) est la garantie que personne d’autre que l’utilisateur dûment autorisé ne sera en mesure de connaître et de comprendre la donnée.
C’est un système à généraliser à tous les postes de travail fixes ou mobiles des équipes.
Chaque utilisateur, du plus haut niveau d’accès au plus simple, doit assumer la responsabilité du maniement de données. Pour cela, le bon sens veut que toute sollicitation du système soit considérée avec prudence, et que les bonnes pratiques de sécurité et d’authentification soient généralisées.
*source : rapport du CESIN 2021
Demandez une démo !
Si vous êtes sensibles à la protection des données, nous vous proposons de découvrir nos logiciels de chiffrement.
Notre équipe est là pour vous faire une démonstration de nos différentes solutions de chiffrement de données.