Cybersécurité et protections des données | Agir tant qu’il est temps

Si la transformation digitale des entreprises françaises constitue un challenge haletant et enthousiasmant pour bon nombre de dirigeants, elle est aussi source de beaucoup d’inquiétudes. Notamment en matière de cybersécurité. Dans le top 5 des risques informatiques que les PME françaises redoutent le plus, le partage de données sensibles et confidentielles arrive en seconde position à 51%, juste derrière les e-mails frauduleux à 52% (Kaspersky Lab, décembre 2018).

Par conséquent, la nécessité impose aux dirigeants de mettre en œuvre de nouvelles approches effectives. Plus de la moitié d’entre eux (64%) positionnent désormais la cybersécurité en tête de leurs priorités. Pourtant, les écarts entre intentions et réalités demeurent, y compris entre les entreprises de taille différente. De fait, les grands groupes sont les mieux armés à l’heure actuelle, alors que les PME prennent encore du retard. En 2018, 77% d’entre elles n’ont pas réalisé d’audit de sécurité. 43% ne sont pas assurées contre les cyber risques.

 Cybersécurité : au-delà des seuls moyens alloués

Le constat dressé par les Responsables SSI est sans appel : les entreprises n’investissent pas encore suffisamment dans la cybersécurité. Tant que les ordinateurs tournent à plein régime et que les logiciels d’édition des contrats fonctionnent, aucune raison de se soucier de ce qui se trame. Et pourtant : les cyberattaques n’arrivent pas qu’aux autres. Actuellement, elles touchent une PME sur cinq chaque année en France. Pour 14% de ces malheureuses victimes, les pertes financières et économiques dépassent les 51000 euros. Quant aux grands groupes, une faille majeure de cybersécurité coûte en moyenne plus d’un million d’euros.

Face aux réseaux cybercriminels internationaux qui se structurent et se professionnalisent, les entreprises de toute taille doivent donc changer leur fusil d’épaule. En réalité, au-delà des budgets décidés chaque début d’année pour le poste informatique de l’entreprise, c’est avant tout l’humain qu’il s’agit de repositionner au centre de toute nouvelle approche. Dirigeants, collaborateurs, partenaires et même services de l’État : après avoir audité l’ensemble des déficiences pouvant engendrer des conséquences sur le système d’information de l’entreprise, l’objectif est de savoir positionner, former et sélectionner toutes ses composantes pour l’instauration d’une cybersécurité vertueuse et multiniveau.

Du repositionnement de RSSI au choix de son data center

En matière de sécurité de l’information et de protection des données, les initiatives gouvernementales à l’échelle nationale et européenne ne manquent pas. Le RGPD, entré en vigueur le 25 mai 2018 dans tous les États de l’Union Européenne, a considérablement renforcé la législation, notamment quant à la sécurisation des données personnelles. En parallèle, le ministère français de l’Économie inaugurait en octobre 2018 un MOOC (autrement dit, un cours en ligne ouvert à tous) à destination des chefs d’entreprise et de leurs salariés. Objectifs : comprendre les enjeux de la sécurité numérique et se former à la protection des données.

Néanmoins, la cybersécurité de chaque entreprise se joue avant tout en interne. Au défaut de formation constaté dans une PME sur deux s’ajoute le positionnement du Responsable SSI. Et ce, vis-à-vis du comité de direction et du comité exécutif de l’entreprise. Si cette réalité tend à évoluer, les lignes ne bougent que trop lentement. Pourtant, faire siéger le Responsable SSI dans ces deux instances majeures de décision apparaît comme incontournable. D’une part, pour faire part des nouvelles menaces qui pèsent sur le système d’information de l’entreprise. D’autre part, pour informer les membres de la direction des avancées de chaque projet de cybersécurité et de mise en conformité. Enfin, pour déployer une véritable stratégie à long terme intégrant le choix de partenaires experts dédiés, notamment pour la sécurisation des données sensibles et/ou personnelles stockées et partagées.

DiliTrust Data Room : priorité à la sécurité de l’information

La solution DiliTrust Data Room est certifiée ISO 27001. Ainsi, un Système de Management de la Sécurité de l’Information (SMSI) assure la protection des données. Il fait l’objet d’un ensemble de mesures de contrôle. Il garantit sa pertinence et le maintien d’un haut niveau d’exigences. En parallèle, toutes les données confidentielles au repos sont chiffrées (AES), tant sur les serveurs que sur les appareils mobiles. Quant aux données en mouvement, elles sont systématiquement chiffrées par TLS (protocoles TLS 1.0, 1.1 et 1.2).

Audits internes, revues de code, tests internes de sécurité et d’intrusions : la solution côté serveur est également auditée une à deux fois par an pour des experts indépendants externes spécialisés dans la sécurité informatique. Côté client, chaque utilisateur est identifié par un nom et un mot de passe. Son enregistrement s’effectue sous forme de hash et d’un cryptage unidirectionnel. L’authentification de chaque demande aux serveurs est systématique là-aussi, si besoin par deux facteurs d’authentification. L’exécution de l’opération demandée dépend de la réussite de cette procédure stricte ainsi que des habilitations octroyées à chaque utilisateur.