Hier soir, j’écoutais BFM Business à la radio et je suis tombé sur un sujet qui parlait de la cybercriminalité, de la protection des données des entreprises, et des nouvelles dispositions qui allaient être mises en place en Europe.

La protection des données est devenue un enjeu majeur pour toutes les entreprises Françaises et Européennes. Chaque jour, dans les médias, nous découvrons de nouveaux cas de piratage plus ou moins rocambolesques. La semaine dernière, nous apprenions par exemple qu’un fichier contenant des informations personnelles sur 112 000 policiers avait été mis en ligne par un employé indélicat de la mutuelle générale de la police. Ces données avaient été placées sur le service cloud Google Drive, le 3 Juin dernier, enfreignant ainsi les règles internes concernant la gestion des documents.

S’il ne s’agit pas réellement d’une cyberattaque, ce geste montre bien qu’il y a un manque d’information dans certaines entreprises. Selon les premiers résultats de l’enquête, l’employé en question souhaitait juste envoyer le fichier à un collègue. Malheureusement, le fichier était trop lourd pour être envoyé par email … Avec une bonne GED, cela ne serait jamais arrivé ! Hélas, c’est ce genre d’actes laxistes qui permettent souvent aux pirates informatiques de lancer leurs attaques.

Protection des données parlement européen

Hémicycle du Parlement européen

L’Europe veut encadrer la protection des données

En Février 2013, la Commission européenne a proposé aux pays membres d’adopter la directive Network Security and Information (NIS) visant à encadrer la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. L’objectif est clair : lutter contre la cybercriminalité. La NIS a été adoptée en première lecture en Mai 2016. Si tous les acteurs concernés mettent en place les mesures décrites dans cette directive, les systèmes de réseaux et d’informations de l’Union Européenne seraient alors bien mieux protégés.

Mais ça n’est pas tout ! Les pays Européens vont aussi mettre en place la CERT. La CERT – Computer Emergency Response Team – aura pour mission de surveiller mais aussi et surtout d’anticiper les attaques. Le champs d’action de ce centre d’alerte sera d’analyser, d’avertir des risques et d’intervenir à posteriori.

L’Europe veut aller plus loin et voter une loi

La NIS  n’est qu’une directive, une liste de conseils. L’Europe veut aller plus loin et contraindre les entreprises dites sensibles à se protéger d’ici la fin 2018. Les décrets de cette loi sont en préparation depuis 2014 et ont été approuvés Mercredi par le Parlement Européen.

Pour se préparer, la France avait dores et déjà fait voter en 2013 la loi de programmation militaire (LPM). La LMP oblige les OIV – Opérateurs d’Importance Vitale – à renforcer leur sécurité informatique et à mieux protéger leurs données et documents numériques. Le but étant au final d’éviter un black-out total en cas de guerre militaire ou économique. L’Etat a aussi créé l’ANSSI – l’Agence nationale de sécurité des systèmes d’information.

protection des données anssi

Autant vous dire que ces mesures ne sont pas superflues. Le mois dernier, deux de ces OIV, qui se trouvent être aussi des entreprises du CAC40, ont dû faire face à des cyberattaques. Passées sous silence, ces deux attaques informatiques ont bien failli mettre sur le tapis ces deux entreprises. Si vous n’en avez pas entendu parler, c’est normal ! L’information a été enterrée et une véritable omerta a été mise en place pour étouffer l’affaire. Avec la nouvelle loi Européenne, la loi du silence ne régnera plus. Les entreprises seront obligées de communiquer publiquement après chaque attaque informatique.

Andreas Schwab, rapporteur du texte au Parlement européen, explique qu’il faut désormais “contraindre les opérateurs d’infrastructures stratégiques, qui agissent par delà les frontières, à se préoccuper davantage (de cybersécurité) et de faire en sorte que de tels incidents ne puissent plus se reproduire”. Les premiers secteurs d’activités concernés par cette loi sont : l’énergie, les transports, les services bancaires et de santé, les moteurs de recherche et les services de stockage en ligne.

La protection des données en entreprise : un apprentissage très lent mais en bonne voie

Les entreprises commencent à comprendre qu’il est important de se former pour lutter contre la cybercriminalité. Toujours sur BFM Business, le journaliste expliquait que certaines entreprises avaient mis en place des formations pour sensibiliser leurs salariés et leur apprendre les règles de bonne conduite. Fishing, protection des documents, réseaux sociaux, etc : l’objectif de ces formations est de s’approprier le cyber-espace et de comprendre la cybercriminalité.

Dans une grande compagnie d’assurance, la direction est allée encore plus loin. Elle s’est amusée à laisser traîner des clés USB dans le parking de la société. L’objectif : tendre un piège à ses salariés. Bien évidemment, ces clés USB étaient infectées par un virus. On s’en serait douté, des employés les ont ramassées et les ont connectées à leur poste de travail. Mauvaise idée ! La direction les a alors directement envoyés en formation pendant deux jours afin de leur apprendre les bons usages à avoir en terme de sécurité informatique.

Partager cet article ...Share on FacebookEmail this to someoneShare on Google+Tweet about this on TwitterShare on LinkedIn