Dirigeants, prenez la main sur votre cybersécurité !

"La multiplication des attaques informatiques ciblant des PME durant les périodes de confinement rappelle que le risque cyber ne doit pas être négligé."

Publié le 27/01/2021 par Equipe Eco121 / Lecture libre / Temps estimé: 2 minutes

Benjamin Mourot avocat associé au cabinet Bignon Lebray.
Benjamin Mourot avocat associé au cabinet Bignon Lebray.

La multiplication des attaques informatiques ciblant des PME durant les périodes de confinement rappelle que le risque cyber ne doit pas être négligé.

La cybersécurité est l’affaire de tous, quelle que soit la taille de la structure. La CNIL a récemment eu l’occasion de le rappeler dans une décision condamnant des médecins libéraux à 6000 € d’amende pour manquement au devoir de protection des données médicales de leurs patients et défaut de notification d’une violation de données à caractère personnel.

Les obligations légales en matière de sécurité informatique sont très largement méconnues. Pourtant elles existent et sont durement sanctionnées.A titre d’exemple, on évoquera l’obligation de conserver les logs de connexion pendant 365 jours ou l’obligation d’utiliser un logiciel de caisse certifié, sous peine d’amendes.

Pour certains opérateurs, les exigences sont encore bien supérieures : si l’activité entre dans le champ des OIV (opérateurs d’importance vitale), il faudra alors impérativement recourir à des prestataires qui feront application des doctrines et recommandations de l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Mieux vaut donc prévenir que guérir, car il est presque impossible de réparer les conséquences dommageables des attaques informatiques. Les PME et entreprises de taille intermédiaire doivent impérativement êtreproactives face à ce risque, et entreprendre des actions.

On citera à titre d’exemple :

- la souscription d’une assurance spécifique qui couvre le risque cyber et la perte de données et prévoit l’intervention d’un prestataire en cas de réalisation du risque,

- la mise en conformité RGPD,

- la mise en œuvre de procédures internes d’encadrement de l’accès au système d’information (charte informatique, avenant de confidentialité RGPD, encadrement des process de déclenchement des règlements comptables),

- la formation des utilisateurs (on ne peut que trop recommander le mooc SecNumAcademie de l’ANSSI),

- la réalisation continue d’audits de sécurité, de conformité logicielle, ou encore d’audits contractuels des contrats des prestataires de services informatiques.

Et surtout on gardera à l’esprit que rien ne garantit qu’une équipe de pirates restituera des données chiffrées en contrepartie du règlement d’une rançon en Bitcoins....