Guides pratiques Comités sociaux et économiques

Les données personnelles du CSE (financières, techniques, commerciale, etc.), qu’elles concernent salariés ou adhérents et soient sensibles ou non, doivent obligatoirement être protégées contre toute tentative de vol, de perte ou de diffusion. Si le CSE a constitué un fichier avec des coordonnées (nom, prénom, adresse postale, téléphone, courriel), il est impératif de l'analyser et de se mettre en conformité avec le RGPD (règlement général sur la protection des données).

Le cyberrisque se définit comme tout risque de perte financière, d’interruption des activités ou d’atteinte à la réputation d’une structure en raison d’une défaillance des systèmes d’information (SI). Sont concernés les ordinateurs, serveurs, mobiles, tablettes... Les conséquences sont diverses : voir son image et son intégrité malmenée, avoir ses comptes de messagerie piratés, perdre des données, être victime de faux ordres de virement, d'espionnage ou de sabotage. Parmi les modalités les plus courantes :

• L’hameçonnage a pour but de soutirer des mots de passe, informations personnelles ou bancaires via un message, courriel ou SMS, utilisant l'identité d'un tiers de confiance (banque, administrations, fournisseurs d’accès à Internet…).
• Le rançongiciel bloque l’accès aux données du CSE afin de réclamer une rançon. Le vol de données et la destruction des sauvegardes vont généralement de pair. Il est installé par l'intrusion d'un tiers mal intentionné sur le réseau via un accès à distance ou directement sur l'ordinateur, le mobile ou smartphone d'un membre.
• Les faux ordres de virement sont réalisés suite au piratage d'un compte de messagerie. Sous couvert d'une identité connue (fournisseurs, clients, salariés ou dirigeant), l'auteur malveillant envoie un message pour obtenir les coordonnées de votre RIB ou demander un virement à titre exceptionnel et confidentiel.

Les techniques et technologies évoluent rapidement. L’information et la formation sur les bonnes pratiques de sécurité ne sont pas à négliger ; c’est une nécessité.

Prendre du temps avec vos membres sur cette problématique. Il est important d’apprendre à reconnaître les cybermenaces et savoir comment réagir.

Encadrer l’usage des appareils personnels et diffuser des pratiques exemplaires, par exemple concernant l’utilisation du Wi-Fi.

Segmenter les réseaux en configurant les droits des utilisateurs pour que seul un nombre restreint de personnes autorisées aient accès à certaines banques de données, et penser à signaler toute modification apportée au réseau.

Renforcer votre politique de gestion des mots de passe en les modifiant souvent, en imaginant des mots de passe longs, complexes et différents sur chaque matériel ou service utilisé.

Mettre les logiciels à jour et installer les correctifs dès que les nouvelles versions sont disponibles. Les pirates auront moins de failles à exploiter.

Investir dans un bon système de protection avec plusieurs niveaux de contrôle : pare-feu, système de prévention des intrusions (IPS), système de détection des intrusions (IDS)…

Et prévoir des copies de sauvegarde au cas où quelqu’un exploiterait une vulnérabilité de votre système.

Tout doit être mis en œuvre pour sécuriser les données personnelles détenues par le CSE, selon le principe de la « sécurité par défaut ». Ces mesures doivent, au-delà de la protection nécessaire et optimale, permettre une traçabilité de la donnée. Toute faille de sécurité doit être déclarée à la CNIL dans un délai très bref (72h selon le règlement) ainsi qu'auprès des personnes concernées.