Cybersécurité de votre maison d’édition
Vol de données, demandes de rançon, sabotage : les cyberattaques sont des risques qui pèsent sur toutes les entreprises et les maisons d’édition ne sont, bien évidemment, pas épargnées.
Le dernier Baromètre publié par le Club des Experts de la Sécurité de l’Information et du Numérique (CESIN) relève que 54% des entreprises françaises déclarent avoir subi au moins une cyberattaque en 2021. L’Agence nationale de la sécurité des systèmes d’information (ANSSI) fait également état d’une augmentation de 37% des intrusions dans les systèmes d’information sur la seule année 2021 dans son dernier panorama de la menace informatique (1.082 intrusions avérées en 2021 contre 786 en 2020). Concernant les données personnelles, la CNIL constate aussi une nette progression des notifications de violation de données dont près de la moitié résultent d’une attaque par rançongiciel.
Cette tendance à la multiplication des cyberattaques s’expliquerait par une plus grande porosité entre usages professionnels et usages personnels des outils informatiques, la multiplicité des lieux de connexion ainsi que la généralisation d’usages numériques plus ou moins bien maîtrisés (comme le Cloud), en plus du développement du télétravail ces dernières années pour cause de COVID. Une autre raison serait la professionnalisation et la spécialisation permanentes des cybercriminels.
Ces cyberattaques peuvent avoir de graves conséquences pour une entreprise : vol de données, indisponibilité voire endommagement des systèmes d’information, atteinte à l’image, etc. C’est le cas notamment des rançongiciels (ou « ransomware »), logiciels malveillants ou virus, bloquant l’accès à l’ordinateur ou aux fichiers puis réclamant à la victime le paiement d’une rançon pour en obtenir de nouveau l’accès.
Elles touchent d’autant plus les entreprises de petite ou moyenne taille qui – en l’absence de dispositifs de protection performants, et de programmes de sensibilisation périodiques auprès des salariés – sont les plus vulnérables, et donc une cible de choix pour les acteurs de ces attaques.
Chaque utilisateur d’un outil numérique (ordinateur, tablette, téléphone portable) relié au système d’information de l’entreprise peut être le point d’entrée d’une attaque, la menace doit donc être prise très au sérieux. C’est pourquoi, en plus de protéger votre environnement informatique, sensibiliser vos employés est essentiel.
SOMMAIRE
S’informer et prévenir : guides et recommandations
Plusieurs outils sont proposés par le gouvernement pour aider les entreprises à mettre en place des dispositifs de protection et notamment :
> Les guides et recommandations de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) :
- Les guides de bonnes pratiques de l’ANSSI, dont « La cybersécurité pour les TPE/PME », guide publié en partenariat avec la direction générale des entreprises (DGE).
- Dix règles d’or préventives
- 5 réflexions à avoir lors de la réception d’un courriel
- Attaques par rançongiciels : comment les anticiper et réagir en cas d’incident ?
- Le MOOC SecNumacadémie, la cybersécurité accessible à tous
> Les sites du Gouvernement :
- Risques – Prévention des risques majeurs
- Cybermalveillance.gouv.fr : cette plateforme a pour missions d’assister les entreprises victimes de cybermalveillance, de les informer sur les menaces numériques et les moyens de s’en protéger.
> Le site du CERT-FR (Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques)
> Le site de la préfecture de police
> Le Portail officiel de signalement des contenus illicites de l’Internet (PHAROS)
> Le site de la DGSI (Direction générale de la sécurité intérieure)
Concernant plus particulièrement la protection des données à caractère personnel lors de cyberattaques, vous pouvez consulter :
> Sur le site de la CNIL :
- La cybersécurité
- Guide : la sécurité des données personnelles
- Le RGPD : la meilleure prévention contre les risques cyber
- Les violations de données personnelles
Sensibiliser et former les employés
Afin d’agir pour prévenir les cybermenaces, l’AFDAS (opérateur de compétences du secteur de l’édition) a développé une offre de services autour de trois axes (à voir sur la plateforme de l’AFDAS) :
- Sensibiliser via le site dédié cybersecurite.afdas.com, conçu pour aider les entreprises et leurs salariés à se familiariser avec les enjeux et risques cyber (vidéos thématiques et quiz).
- Former l’ensemble des salariés aux bonnes pratiques : 25 offres de formations y sont référencées.
- Accompagner pour diagnostiquer l’existant et établir un plan d’action pour prévenir techniquement et humainement les risques : prestation d’appui-conseil destinée prioritairement aux entreprises de moins de 250 salariés.
Agir en cas de cyberattaque
Si vous pensez être victime d’un acte de cybermalveillance, le SNE vous invite à vous tourner très rapidement vers la plateforme cybermalveillance.gouv.fr qui vous conseillera et vous orientera dans vos démarches (service gratuit).
L’outil d’assistance en ligne vous permettra de réaliser le diagnostic de votre problème et d’appliquer des conseils adaptés pour y remédier.
Par ailleurs, en cas de violation de données à caractère personnel, le règlement général sur la protection des données (RGPD) impose aux responsables de traitement de documenter, en interne, les violations de données personnelles. Si l’incident constitue un risque au regard de la vie privée des personnes concernées, les responsables de traitement devront notifier l’incident à la CNIL. En cas de risque élevé, ils devront également notifier les personnes concernées : https://www.cnil.fr/fr/notifier-une-violation-de-donnees-personnelles.
