La généralisation du télétravail permet à de nombreuses entreprises de poursuivre leurs activités. Cependant, la réorganisation des méthodes de travail s’est principalement déroulée dans l’urgence, ce qui a engendré la recrudescence des cyberattaques. La perte de données est lourde de conséquences. Il est donc primordial de renforcer la stratégie de sauvegarde indépendamment de l’option de stockage sélectionnée.
Les impacts de la dispersion des équipes
Le télétravail implique que les salariés utilisent leurs propres dispositifs internets. Ordinateurs et smartphones personnels sont exploités afin d’assurer la continuité des activités professionnelles. D’un point de vue purement pratique, il s’agit d’une excellente solution. Mais là où le bât blesse, c’est que la sécurité n’est pas aussi aboutie que celle dont bénéficient les serveurs professionnels.
Les systèmes informatiques des entreprises se retrouvent vulnérabilisés par les machines personnelles. Ces dernières sont en effet plus accessibles aux hackers qui piratent les données avant-même qu’elles n’atteignent le serveur d’hébergement sécurisé.
Le taux de cyber-malveillance est pourtant déjà bien élevé en France. En 2018, année où le RGPD est entré en vigueur, ce taux dépassait déjà les 80% selon des données fournies par le Ministère de l'Intérieur. Depuis mars 2020, la plateforme gouvernementale dédiée à l’Assistance et prévention du risque numérique enregistre une hausse de fréquentation de 300% selon les confidences de son directeur général Jérôme Notin. Ces chiffres appellent à une vigilance accrue, sachant que les actes de malveillance prennent différentes formes.
Les principaux types de cyberattaque et leurs conséquences
Il faut reconnaître que les hackers ne manquent absolument pas de créativité. En plus d’être à l’origine de bilans économiques désastreux, ils peuvent porter atteinte à la réputation des entreprises victimes et violer les accès aux sites web mais également aux données enregistrées sur les ordinateurs. La vigilance s’impose car les modes opératoires sont rarement les mêmes.
Le phishing
La pratique est très répandue et pourtant, particuliers et professionnels continuent à en être victimes. Faux SMS, e-mail frauduleux, appels téléphoniques… tous les canaux de communication peuvent être utilisés par les cybercriminels qui usurpent les identités des tiers de confiance pour soutirer les informations personnelles des internautes.
Le phishing (ou hameçonnage) cible les informations personnelles les plus sensibles. S’il atteint son but, le hacker peut en effet récupérer les mots de passe, codes d’accès et coordonnées bancaires, autant d’éléments vitaux pour la santé et la sécurité des entreprises.
Sur le plan économique, le compte en banque ouvert au nom de l’entreprise, de son dirigeant ou même du salarié peut être vidé en un clin d’œil. Les opérations frauduleuses menées par le “phisher” peuvent même aboutir sur un solde débiteur conséquent. Il reste envisageable de récupérer les pertes si les débits non autorisés sont signalés à temps à la banque mais les démarches peuvent être fastidieuses et certains établissements bancaires rechignent à indemniser leurs clients.
Le plus gros risque encouru concerne la perte des données. En disposant des mots de passe et autres codes d’accès, les phishers peuvent modifier, exploiter et supprimer les données.
Le DoS ou déni de service
Le Denial of Service abrégé DoS est une attaque en pleine recrudescence. Il empêche le fonctionnement des applications informatiques en saturant le serveur via l’envoi de requêtes multiples. On parle de DDoS (pour Distributed Denial of Service) ou déni de service distribué lorsque l’attaque provient de plusieurs sources. Il devient alors plus difficile de la bloquer et de contre-attaquer.
Les hackers exploitent les failles pour s’introduire dans le système et provoquer une panne du site qui est alors hors d’usage. Ces attaquants n’hésitent pas à rendre le DoS ou le DDoS public ce qui porte automatiquement atteinte à la crédibilité de l’entreprise victime. Le doute plane en effet sur la nature exacte des données auxquelles les pirates ont pu accéder : données commerciales, informations bancaires….
L’Assistance publique des hôpitaux de Paris (AP-HP) a été victime d’un déni de service en mars 2020 et c’est loin d’être un cas isolé. Cela pour dire que les cybercriminels peuvent s’attaquer à toute entreprise, tout organisme, d’où l’intérêt d’adopter une stratégie de sauvegarde et de protection des données efficace.
L’espionnage informatique
Les cyber-pirates peuvent se faire très discrets afin de mieux s’introduire dans les serveurs des entreprises. Dans un contexte où le télétravail se généralise, les appareils personnels utilisés à des fins professionnelles constituent les principales cibles. Il est donc possible que les utilisateurs ne se rendent même pas compte que leurs machines sont infectées par des logiciels espions.
Les risques sont énormes dans la mesure où la souveraineté des données perd tout son sens. Les hackers s’introduisent dans le réseau et accèdent à toutes les informations dont ils ont besoin. Vos données sensibles peuvent donc être collectées et transmises à vos concurrents et/ou exploitées à mauvais escient.
Il est évident que l’espionnage informatique nuit aux organisations, entreprises et collectivités qui risquent de perdre des contrats et qui encourent des problèmes juridiques si leur nom est associé aux actes de malveillance lancés sur la base des données frauduleusement collectées.
Les attaques par brute force
Les mots de passe et clés/codes d’accès sont les cibles de ces attaques. Les hackers peuvent se servir d’un dictionnaire de mots de passe pour atteindre leur objectif ou recourir aux optimisations heuristiques pour gagner un temps précieux. Il va de soi que plus les mots de passe sont complexes, plus ils sont difficiles à craquer.
Si les attaques par brute force aboutissent, il y a le risque que le hacker accède aux comptes des administrateurs d’un ordinateur, d’un réseau, d’un site internet… autant de possibilités de détourner les fichiers et données.
L’essor des rançongiciels
Période de crise oblige, les pirates informatiques profitent plus que jamais des brèches créées par le télétravail pour se faire plus d’argent. Les ransomwares gagnent donc du terrain. Il s’agit de logiciels malveillants qui bloquent l’accès à l’ordinateur. Il est possible que votre écran se retrouve complètement verrouillé. Les hackers peuvent aussi recourir au chiffrement des données via un mot de passe pour empêcher tout accès.
Les sources d’infection des machines sont multiples : liens intégrés à des e-mails, intrusion dans le système informatique, navigation sur des pages/sites internet non sécurisés…. Dans tous les cas, la victime reçoit une demande de rançon sous forme de message. Les hackers demandent une somme en échange du déblocage des données prises en otage. En règle générale, plus les données sont sensibles, plus le montant exigé est élevé. Les pertes financières peuvent donc être significatives.
Par ailleurs, rien ne garantit que les données soient effectivement récupérées. Le risque d’une perte totale -ou partielle dans le meilleur des cas- reste omniprésent. D’après des statistiques publiées par Coveware, le taux de récupération moyen était de 96% au premier trimestre 2020. Cela représente une baisse de 1% comparé au trimestre précédent. Ils semblerait que les pirates n’hésitent pas à corrompre les données au moment de leur cryptage, ce qui explique cette baisse. Les mêmes études menées par Coveware précisent d’ailleurs que le taux de récupération peut s’articuler autour de 40% selon le rançongiciel.
Non seulement l’entreprise peut perdre ses données mais il y a également des risques économiques non-négligeables. Le chiffre d’affaires peut considérablement chuter si le système est infecté par un ransomware.
Les stratégies à privilégier pour se prémunir des cyberattaques
Le risque zéro n’existe peut-être pas, il est néanmoins possible d’optimiser la protection des données en adoptant les bons réflexes.
La vigilance individuelle est indispensable. Pour commencer, chaque salarié doit prendre l’habitude d’activer son VPN et de mettre l’ensemble de ses logiciels à jour, en particulier les antivirus. Il est également primordial de vérifier les expéditeurs des e-mails avant leur ouverture et surtout avant de cliquer sur un lien ou d’ouvrir/télécharger une pièce jointe.
Lorsque des données confidentielles doivent être échangées, il est indispensable de les sécuriser au maximum. On évite donc d’utiliser des réseaux Wi-fi publics qui restent vulnérables aux logiciels espions et autres attaques informatiques. Le chiffrage est d’ailleurs crucial en ce qui concerne les e-mails professionnels.
Lorsque les salariés utilisent leurs machines personnelles, il est impératif de recourir à une partition chiffrée du disque dur pour protéger les données enregistrées. En parallèle, il est primordial que chaque utilisateur puisse accéder à un système de backup, autrement dit une sauvegarde des données professionnelles.
Par ailleurs, la conception d’une stratégie de sauvegarde doit se faire en concertation avec les équipes techniques et avec l’appui des équipes juridiques. Il est en effet capital d’évaluer les risques auxquels l’entreprise est exposée par rapport aux types de prestations fournies, aux renseignements collectés sur les partenaires/clients…. Autant que possible, mieux vaut interdire ou à défaut de limiter les accès externes au système informatique (clients, fournisseurs…). Moins il y a d’accès externes, moins il y a de risques d’intrusions.
Un service de messagerie interne est plus que conseillé. En adoptant une telle solution, il est en effet plus facile de protéger les contenus et données, indépendamment des ordinateurs et appareils utilisés. Les systèmes d’authentification à double facteur sont évidemment à privilégier car ils offrent une meilleure protection que les mots de passe classiques.
L’importance des sauvegardes
Lorsqu’un appareil est piraté ou, dans le meilleur des cas en panne, on perd automatiquement l’accès aux fichiers enregistrés. Malgré la qualité des logiciels de récupération utilisés, il n’y a jamais de garantie absolue que l’on puisse à nouveau exploiter les données présentes sur le support défectueux. Photos, fichiers comptables, vidéos de présentation, fiches personnelles… tout peut se perdre en un clin d’œil. La sauvegarde doit donc relever d’un réflexe et être appliquée de façon systématique, voire automatique.
Rien ne vaut une sauvegarde sur-mesure, d’où l’importance de comparer plusieurs solutions avant d’en retenir une. Le choix ne doit pas s’effectuer dans la précipitation même si la sécurisation des données informatiques d’entreprise est une priorité absolue.
Le BaaS comme option prioritaire
Adopter le BaaS (Backup As A Service) consiste à profiter des solutions de sauvegarde dans le cloud. Autrement dit, un double des serveurs de l’entreprise est créé puis régulièrement mis à jour. Il existe de nombreuses solutions adaptées aux différents volumes de data, le principe étant le même : accroître la sécurité.
La vigilance est de rigueur car il existe des solutions de sauvegarde publiques et privées. Dans un contexte professionnel, les infrastructures de cloud privé sont indiquées. Là encore, de nombreuses options sont disponibles. Il est alors primordial de sélectionner une entreprise de droit français proposant un hébergement des data en France. C’est la meilleure option pour se prémunir des ingérences extérieures et donc de veiller à la souveraineté des données.
En plus d’une sauvegarde judicieuse, il faut prévoir la restauration PRA. Le BaaS propose simultanément ces deux services. En cas de perte ou de détérioration des données enregistrées sur les machines professionnelles/personnelles, les copies enregistrées dans le cloud peuvent être activées. Le plan de reprise d’activité est de ce fait performant dans la mesure où la reprise en question s’effectue très rapidement. Il n’est pas obligatoire que la machine infectée par un virus ou redémarre pour que les data soient récupérées. Selon le prestataire sélectionné, il est possible de faire démarrer une machine virtuelle dans le cloud et ainsi intervenir sur les données.
Des mesures d’accompagnement doivent évidemment accompagner l’adoption du BaaS.
La protection des différentes machines
Les sauvegardes sécurisées sont systématiques au sein des entreprises mais le sont moins lorsque les ordinateurs et périphériques mobiles personnels sont exploités. Il est donc primordial d’ajuster la politique de sauvegarde sur l’ensemble des appareils reliés au réseau de l’entreprise. Chaque utilisateur doit bénéficier de solutions performantes pour enregistrer les données sur son appareil puis assurer une exportation protégée vers le cloud.
Une identification en amont des appareils fixes et périphériques mobiles s’impose. Il ne s’agit pas seulement des ordinateurs, tablettes et smartphones ! Les périphériques de stockage amovibles doivent également être pris en compte dès lors qu’ils contiennent des informations importantes.
Les solutions antivirales professionnelles sont à privilégier dans un contexte où le télétravail se généralise. En effet, les protections standard ne suffisent pas à sécuriser les fichiers créés et enregistrés sur les terminaux personnels. Il sera donc judicieux de prendre les abonnements en charge afin que les installations initiales et les mises à jour se déroulent conformément aux exigences sécuritaires imposées par vos activités.
L’automatisation des sauvegardes
Il est tout à fait possible d’automatiser les tâches courantes, notamment la sauvegarde informatique. Aucune intervention humaine n’étant nécessaire, l’entreprise se préserve contre les risques d’oublis qui peuvent se révéler handicapantes, voire fatales en termes de sécurité.
La fréquence des sauvegardes est variable : horaire, hebdomadaire, mensuelle… sans oublier la possibilité d’exporter systématiquement les données sensibles vers le cloud. Il convient donc de bien comparer les prestations proposées, toujours par rapport aux risques encourus par l’entreprise si jamais les data tombent entre de mauvaises mains.
Les sauvegardes automatiques peuvent parfaitement se faire via des postes nomades comme à partir des ordinateurs installés dans vos bureaux. Les paramètres sont donc à adapter selon les modes d’utilisation, la nature des données et autres facteurs permettant d’identifier le niveau de risque de chaque machine.
La personnalisation des protections
Il faut préciser qu’une sauvegarde de tous les fichiers sans exception n’est pas toujours nécessaire. Certaines données de faible valeur peuvent donc déroger à la règle. Leur identification nécessite bien entendu une analyse minutieuse. Pour cela, il est conseillé de hiérarchiser les data par ordre d’importance. Cela permet d’identifier les données qui n’engendrent pas de problème majeur en cas de perte ou de dégradation.
Suivant la même logique, il est recommandé d’offrir des niveaux de protection sur-mesure aux différentes data sauvegardées. Fournir des codes d’accès personnalisés aux utilisateurs permet déjà de réduire les risques. En parallèle, il est possible d’installer des logiciels d’alerte qui préviennent les administrateurs de toute tentative d’intrusion dans le système. Ces alertes se déclenchent dès qu’une personne non habilitée tente d’accéder à des fichiers.
Le délai de sauvegarde
Les supports virtuels et physiques peuvent s’accompagner d’une durée de vie plus ou moins importante. C’est donc un détail qu’il faut prendre en considération avant de sélectionner le prestataire. Dans certains cas, les données sont sauvegardées dans une limite de temps impartie (5 ans, 10 ans…). Dans d’autres, vous bénéficiez d’une sauvegarde à vie et vous décidez donc des fichiers à supprimer ou non selon leur utilité.
La préparation de machines vierges
Le délai de restauration en cas d’attaques informatiques sera optimisé si vous prévoyez des machines vierges. Autrement dit, le lecteur de disque doit être complètement vide, ce qui n’exclut pas la nécessité d’offrir toutes les protections nécessaires à chaque machine. On parle d’une image système prête à recevoir des données et logiciels complets dans les délais très brefs, ce qui s’inscrit une fois de plus dans la politique de reprise d’activités.
Les options de mise à jour
Le BaaS offre la perspective de bénéficier d’une mise à jour continuelle à faible coût, voire gratuitement selon le prestataire retenu. Les fonctionnalités des applications indispensables aux activités sont de ce fait optimisées en temps réel. D’ailleurs, il faut s’assurer que les logiciels permettant d’ouvrir et d’utiliser les fichiers soient également sauvegardés. Cela permet de gagner un temps précieux si une restauration s’impose à la suite d’un problème informatique.
Les tests de performance
Il peut arriver que le processus de sauvegarde ne se déroule pas comme il se doit. Pour plus d’assurance, mieux vaut tester les sauvegardes et l'intégrité des données de manière régulière. Ces tests peuvent prendre la forme d’une copie des fichiers sauvegardés sur votre ordinateur. Après quoi, il faut vérifier que chaque fichier est correctement exploitable (ouverture, modification…).
Il est par ailleurs conseillé de tester les copies directement dans les centres de sauvegarde. Cette précaution permet d’évaluer les délais de restauration, ainsi que les niveaux de protection dont disposent les serveurs physiques et plus encore.
Sauvegarde informatique : ce que dit la loi
La nécessité absolue de protéger vos données professionnelles contre les cyberattaques et autres sources potentielle de perte/dégradation n’exclut pas l’obligation de se conformer aux législations. Les données personnelles sont principalement concernées.
Le Règlement Général sur la Protection des Données (RGPD) renforce le droit des personnes. Il faut retenir que différentes démarches auprès de la Commission nationale de l'informatique et des libertés (CNIL) sont supprimées. Seuls les secteurs ayant attrait à la justice et à la santé doivent encore appliquer les formalités en vigueur avant 2018.
En contrepartie, les entreprises doivent procéder à une mise en conformité de leur politique de collecte, d’analyse, de traitement et d’exploitation des données au regard du RGPD. Les lignes directrices sont accessibles sur le site de la CNIL en ce qui concerne l’application sur le territoire européen.
L’article 34 de la Loi n° 78-17 du 6 janvier 1978, modifié par Ordonnance n°2018-1125 du 12 décembre 2018 - art. 1 apporte également des compléments d’information. La responsabilité pénale pouvant être engagée selon la nature des données sauvegardées, il est obligatoire de se conformer aux dispositions prévues à l’article 226-17 du Code Pénal. Les articles 1240 et 1241 du Code Civil sont aussi à prendre en considération, sachant que les données personnelles collectées et sauvegardées peuvent s’avérer préjudiciables.
D’autres textes et lois peuvent évidemment servir de référence mais il est préférable de consulter des experts en droit afin que la sauvegarde assure la protection de l’entreprise à tous points de vue.
Les lois sont variables d’un pays à un autre. Cela implique l’application de mesures variables selon la plateforme de sauvegarde sélectionnée. Les références citées plus haut sont par exemple adoptées en France, ce qui ne les rend pas obligatoires dans d’autres Etats. C’est toute l’importance de s’adresser à un prestataire de droit Français comme évoqué précédemment. Non seulement il y a la garantie que la législation en vigueur soit appliquée mais la gestion des éventuels problèmes se déroulera également avec plus de souplesse.
Toute entreprise ou organisme doit adopter une politique de sécurité sur-mesure. Les différentes stratégies mises en place seront alors communiquées aux employés qui devront les appliquer en présentiel comme en télétravail.
En conjuguant ainsi les efforts, dirigeants et salariés contribuent ensemble à la protection des données informatiques de l’entreprise concernée.
Ajouter un commentaire