Vous avez besoin de signer un devis, un bon de commande, une facture, vos bulletins de paie, voire un contrat d’affaires ou un contrat de travail où que vous soyez et en toute sécurité ? Pensez à la certification électronique !
Quelles sont les notions à maîtriser en tant que dirigeant d’entreprise ?
Dirigeants d’entreprise et entrepreneurs, aujourd’hui, à l’ère de la numérisation, l’information se présente généralement sous forme de données informatiques. La sécurité économique et la cybersécurité sont donc pour vous des sujets d’une importance capitale afin de protéger au mieux vos réseaux et systèmes d’informations.
Leurs enjeux sont d’autant plus prégnants en période de crise sanitaire avec le retour du télétravail. Si vous êtes dirigeant de PME du secteur de la défense, ces notions vous concernent plus que jamais.
La sécurité économique : état de la menace
Aujourd’hui, le contexte économique exacerbé laisse apparaître certaines tendances en matière de menaces économiques. L’analyse de ces menaces montre de plus en plus une sophistication et une simultanéité des attaques opérées par des acteurs ingérants.
En tant que dirigeants d’entreprises, vous êtes :
- des stratèges au sein de vos structures et donc à ce titre, vous formez également des cibles à haute valeur ajoutée pour des acteurs ingérants.
- des décideurs donc des leviers d’influence en interne ou en externe.
- des relais d’informations, car vous occupez des fonctions clés au sein de vos structures.
Il faut être vigilant car une ingérence fonctionne par rebond : si votre structure est parfaitement sécurisée sur le plan informatique, les acteurs ingérant peuvent tenter d’obtenir des informations vous concernant via vos partenaires ou fournisseurs (entreprises en contrats sensibles). Cela repose sur l’exploitation de vulnérabilités qui peuvent être humaines, techniques ou organisationnelles.
Lorsque vous êtes la cible d’une menace, son origine peut être interne ou externe :
- D’un point de vue externe, il peut s’agir d'États étrangers qui mobilisent leurs services de renseignements ou bien d’acteurs privés tels que des hackers ou des groupes de la criminalité organisée.
- Au niveau interne, dans la majorité des cas, les menaces proviennent en réalité d’imprudences, de manques de sensibilisation ou de vigilance de la part vos collaborateurs, de vos fournisseurs et partenaires ou bien de votre sous-traitance. Il est donc important et recommandé de s’assurer que vos partenaires commerciaux mais également vos collaborateurs partagent le même niveau d’exigence vis-à-vis d’une culture de sécurité des informations.
La cybersécurité : état de la menace cyber
Le "phishing" (ou hameçonnage en français)
Le phishing est un type d’attaque qui consiste à envoyer, sur une messagerie professionnelle ou privée, un email contenant un lien piégé. Si la personne ciblée clique sur ce lien piégé, cela permet alors au hackeur d’installer des logiciels malveillants et intrusifs sur l’ordinateur de la victime (comme des logiciels d’espionnage…) mais également de s’octroyer des droits d’administrateurs. Le phishing est le 1er vecteur d’attaques en 2020 et le mode opératoire le plus utilisé par des opérateurs malveillants dans le domaine cyber.
Le spearphishing, lui, est une technique de phishing encore plus ciblée qui consiste à récolter un maximum d’informations personnelles sur la victime afin d’adapter au mieux les emails piégés. L’email, rendu ultra-crédible grâce à la personnalisation incite d’autant plus la personne à cliquer.
Il est important de toujours bien regarder et vérifier l’adresse mail de l’expéditeur (notamment le nom de domaine) afin de voir si elle paraît suspecte ou non.
Exemple : le Ministère des Armées utilise @defense.gouv.fr donc toute autre adresse email serait fausse.
Les "Ransomware" (ou logiciels de rançons en français)
Les ransomware sont des logiciels malveillants qui bloquent l'accès à des fichiers ou à des données en les cryptant et qui réclament ensuite à la victime le paiement d'une rançon pour en obtenir les codes de déchiffrement.
Ces logiciels de rançons sont un des vecteurs d’attaques privilégiés et représentent 24% des attaques cyber.
L’entreprise qui en est victime subit de nombreux préjudices :
- Préjudice financier : si elle consent à payer la rançon. Attention ! L’Agence Nationale de Sécurité des Systèmes d’Information recommande de ne jamais payer les ransomware car vous n’avez pas la garantie que celui-ci vous fournira la clé de déchiffrement une fois la rançon payée.
- Préjudice de réputation : vos partenaires, fournisseurs, sous-traitants ou clients ne verront plus votre entreprise comme une structure sécurisée au niveau des systèmes d’informations.
- Préjudice en matière de données personnelles : dès lors que vos données sont volées par le ransomware, il y a un risque de « leak » c’est-à-dire de fuite de données vers internet et qui révèlerait les données personnelles de vos collaborateurs, de vos clients, etc… La CNIL étant très exigeante à ce sujet, peut imposer de lourdes sanctions.
Le shadow IT
Le shadow IT est la principale cause des incidents de sécurité en entreprise. Il consiste à l’utilisation ou à l’installation abusive de logiciels liés au travail pour contourner certaines restrictions de votre Politique de Sécurité des Systèmes d’Informations (PSSI). C’est l’utilisation de logiciels non-approuvés par votre PSSI qui crée un risque puisque ces applications, lorsqu’elles ne sont pas certifiées, peuvent contenir des virus.
Le comportement à adopter sur les réseaux sociaux
Les informations que vous publiez et que vous rendez accessibles publiquement sur les réseaux sociaux peuvent faire de vous des cibles. Si vous êtes des dirigeants d’entreprises de l’industrie de défense française, vous êtes donc des cibles à haute valeur ajoutée.
Les acteurs malveillants et ingérants peuvent faire ce que l’on appelle de "l’ingénierie sociale", c’est-à-dire qu’ils regroupent et exploitent tous les renseignements et informations trouvés sur les réseaux sociaux afin de déterminer la meilleure approche, le meilleur moment, le meilleur contact pour vous cibler et vous soutirer des informations.
Il ne s’agit cependant pas de supprimer totalement son activité sur les réseaux sociaux mais plutôt de maîtriser son environnement numérique et d’être extrêmement vigilant sur toutes les informations qui sont en ligne et qui vous concernent.
Déplacements professionnels nationaux et internationaux : les bonnes pratiques pour la sécurité économique
Les déplacements professionnels sont des moments où les risques sont exacerbés car vous n’êtes plus dans votre cadre privilégié de vigilance. Vous êtes donc des cibles plus facilement appréhendables par des acteurs malveillants : intrusions dans les chambres d’hôtels, vols de matériels, compromission, perte de données, chantage…
Afin de limiter ces risques, il est important d’appliquer certaines recommandations avant, pendant ainsi qu’après vos déplacements.
Avant vos déplacements professionnels nationaux et internationaux
- S’entretenir avec sa chaîne de sécurité
- Préparer son passage en douane et limiter le nombre de données emportées
Pendant vos déplacements professionnels nationaux et internationaux
- Maintenir une vigilance en présence de tiers
- Etre prudent vis-à-vis des cadeaux ou autres donations
- Ne pas laisser des données sensibles dans les coffres forts d’hôtels ou chambres
Après vos déplacements professionnels nationaux et internationaux
- Effacer les historiques des appels, navigation et messages de ses appareils
- Changer les mots de passe utilisés lors des déplacements
- Faire analyser ses appareils informatiques par la SSI de son entreprise
De manière plus générale il est primordial d’apprendre à toujours séparer ses données personnelles de ses données professionnelles ainsi que de maintenir une bonne "hygiène" informatique.
Pour aller plus loin
- 8 types de cyberattaque
- Comment protéger efficacement mon entreprise des cyberattaques ?
- Sécurité des données : un enjeu clé pour les entreprises
Les questions à se poser en matière de cybersécurité
Les contrats commerciaux sont au cœur des enjeux économiques des entreprises impactées par la crise ukrainienne. Ces dernières doivent alors maîtriser les outils contractuels à leur disposition leur permettant d’atténuer les conséquences des mesures contraignantes prises par l’Union européenne sur leur activité et maintenir leurs relations commerciales en cours.
Le Règlement Général sur la Protection des Données concerne toutes les entreprises qui collectent, stockent et/ou traitent des données personnelles.
La cybersécurité est au cœur des enjeux de la numérisation des entreprises. Dans ce contexte, la loi du 3 mars 2022 n°2022-309 instaure l’obligation de réaliser un audit de cybersécurité pour les grandes plateformes numériques à compter du 1 er octobre 2023.