Guides pratiques Comités sociaux et économiques

Se prémunir contre les cyberrisques
Partage :
cyberrisques cse

MAJ août 2020

Le numérique comporte des dangers (perte de données, virus, etc.) dont les comités sociaux et économiques (CSE) ne sont pas à l'abri. Les enjeux sont importants : il s'agit de sauvegarder le système informatique, la sécurité financière et la longévité du CSE.

Les données personnelles du CSE (financières, techniques, commerciale, etc.), qu’elles concernent salariés ou adhérents et soient sensibles ou non, doivent obligatoirement être protégées contre toute tentative de vol, de perte ou de diffusion. Si le CSE a constitué un fichier avec des coordonnées (nom, prénom, adresse postale, téléphone, courriel), il est impératif de l'analyser et de se mettre en conformité avec le RGPD (règlement général sur la protection des données).

Caractéristiques d'une cyberattaque

Le cyberrisque se définit comme tout risque de perte financière, d’interruption des activités ou d’atteinte à la réputation d’une structure en raison d’une défaillance des systèmes d’information (SI). Sont concernés les ordinateurs, serveurs, mobiles, tablettes, etc. Les conséquences sont diverses : voir son image et son intégrité malmenée, avoir ses comptes de messagerie piratés, perdre des données, être victime de faux ordre de virement, d'espionnage ou de sabotage. Parmi les modalités les plus courantes :
  • L’hameçonnage a pour but de soutirer des mots de passe, informations personnelles ou bancaires via un message, courriel ou SMS, utilisant l'identité d'un tiers de confiance (banque, administrations, fournisseurs d’accès à Internet…).
  • Le rançongiciel bloque l’accès aux données du CSE afin de réclamer une rançon. Le vol de données et la destruction des sauvegardes vont généralement de pair. Il est installé par l'intrusion d'un tiers mal intentionné sur le réseau via un accès à distance ou directement sur l'ordinateur, le mobile ou smartphone d'un membre.
  • Les faux ordres de virement sont réalisés suite au piratage d'un compte de messagerie. Sous couvert d'une identité connue (fournisseurs, clients, salariés ou dirigeant), l'auteur malveillant envoie un message pour obtenir les coordonnées de votre RIB ou demander un virement à titre exceptionnel et confidentiel.

Les principales recommandations

Les techniques et technologies évoluent rapidement. L’information et la formation sur les bonnes pratiques de sécurité ne sont pas à négliger ; c’est une nécessité.

Prendre du temps avec vos membres sur cette problématique. Il est important d’apprendre à reconnaître les cybermenaces et savoir comment réagir.

Encadrer l’usage des appareils personnels et diffuser des pratiques exemplaires, par exemple concernant l’utilisation du Wi-Fi.

Segmenter les réseaux en configurant les droits des utilisateurs pour que seul un nombre restreint de personnes autorisées aient accès à certaines banques de données, et penser à signaler toute modification apportée au réseau.

Renforcer votre politique de gestion des mots de passe en les modifiant souvent, en imaginant des mots de passe longs, complexes et différents sur chaque matériel ou service utilisé.

Mettre les logiciels à jour et installer les correctifs dès que les nouvelles versions sont disponibles. Les pirates auront moins de failles à exploiter.

Investir dans un bon système de protection avec plusieurs niveaux de contrôle : pare-feu, système de prévention des intrusions (IPS), système de détection des intrusions (IDS)…

Et prévoir des copies de sauvegarde au cas où quelqu’un exploiterait une vulnérabilité de votre système.

Sécurisation des données

Tout doit être mis en œuvre pour sécuriser les données personnelles détenues par le CSE, selon le principe de la « sécurité par défaut ». Ces mesures doivent, au-delà de la protection nécessaire et optimale, permettre une traçabilité de la donnée. Toute faille de sécurité doit être déclarée à la CNIL dans un délai très bref (72h selon le règlement) ainsi qu'auprès des personnes concernées.
En savoir plus

Guide MAIF RGPD : qui est concerné ?

Notre point de vue d'assureur

Des actions sont nécessaires pour prévenir la violation de données à caractère personnel. Pour lutter efficacement et prendre les mesures adaptées contre ce type de menace, il est fortement conseillé aux CSE de prendre le temps nécessaire et se donner les moyens de se poser les bonnes questions afin d'éviter toute indisponibilité du système informatique, perte de données ou financière.