Impression personnalisée

Sélectionnez les paragraphes que vous désirez imprimer

Cybersécurité : s'emparer du sujet pour parer les attaques

Une « Matinale » de la Compagnie régionale des commissaires aux comptes de Paris autour du thème « La cybersécurité et le CAC » a eu lieu le mercredi 14 février dernier (CRCC de Paris, Matinale du 14 février 2018 « La cybersécurité et le CAC », intervention de François Charbonnier, chef adjoint de la coordination sectorielle de l’ANSSI). Elle a été l'occasion de rappeler que la cybersécurité est l'affaire de tous, elle concerne les entreprises potentiellement ciblées, bien entendu, mais aussi leurs commissaires aux comptes ou leurs conseils, également appelés à la vigilance. Les entreprises doivent, en amont, analyser de façon systématique les risques et élaborer une charte informatique, par exemple sur le modèle proposé par l'ANSSI.

Même sans être ciblée, toute entreprise peut être touchée

François Charbonnier, chef adjoint de la coordination sectorielle de l’Agence nationale de la sécurité des systèmes d'information (ANSSI), a rappelé que le nombre de cyberattaques ne diminue pas, bien au contraire, il augmente, et la virulence de ces attaques a tendance à s’accroître.

Comme les années précédentes, 2017 a montré que les cyberattaques faisant le plus de victimes commencent souvent par l’intrusion d’un rançongiciel (ransomware), reçu via un simple mail sur lequel les utilisateurs cliquent et contaminent ainsi le système d’information. Cette contamination peut aller jusqu’au réseau de production industrielle, stoppant net la production de l’entreprise, avec les conséquences qu'on imagine. Pour l’anecdote, une des attaques majeures intervenues en 2017 utilisait comme « cheval de Troie » une réponse à un mail de simple proposition de mise à jour du logiciel de comptabilité…

La conclusion des différentes cyberattaques recensées reste que, bien souvent, les entreprises victimes n’étaient pas spécifiquement visées par les cybercriminels mais ont été touchées, bien que non ciblées initialement, par contamination entre systèmes d’information et d’exploitation.

Or, on sait que le rétablissement post-cyberattaque des processus métiers peut être long et coûteux pour les entreprises qui en sont victimes.

Un dispositif d'aide aux victimes d'actes de cybermalveillance a été mis en place par le gouvernement, il s'adresse aux victimes professionnels, administrations ou particuliers (https://www.cybermalveillance.gouv.fr/).

Le secteur « finances et services » est particulièrement visé

Le « secteur finances et services » est vaste puisqu’il recouvre aussi bien le secteur bancaire, que celui des assurances et aussi, notamment, celui des professionnels du chiffre.

Ces entreprises ont naturellement des spécificités bien différentes mais sont globalement souvent visées par les cyberattaquants. Les banques le sont en raison des flux d’argent qu’elles gèrent, mais les commissaires aux comptes ou les experts-comptables, tout comme les directeurs comptables et financiers, peuvent être ciblés par ces cyberattaquants pour les données confidentielles (comptables, financières mais surtout stratégiques) qu’ils détiennent et qui peuvent valoir de l’or.

Le nombre de cyberattaques ciblant ces secteurs augmente d'ailleurs chaque année et, pour ces attaques comme pour celles visant les autres secteurs d’activité (militaire etc.), on observe que les cybercriminels se professionnalisent de plus en plus et font preuve d’une grande inventivité.

L’analyse des risques : il faut penser aux scénarii auxquels on ne pense pas

Face à ces menaces, comment limiter les risques au maximum et savoir réagir efficacement en cas d’attaque ?

La devise à adopter est la suivante : aucune entreprise n’est à l’abri d’une attaque et, pour être mieux protégé, il faut finalement penser aux scenarii… auxquels justement on ne pense pas. Par exemple, un certain nombre d’attaques se déroulent « en sourdine » avec une simple modification du RIB de règlement destiné aux clients, qui figure sur le site web de l’entreprise, et qui a été subrepticement remplacé par un autre RIB.

En somme, le point d’attaque ou les données convoitées ne sont pas forcément ceux que l’on croit, bien au contraire, les attaques « à l’aveugle » étant légion. En conséquence, il convient de se poser, en particulier, les quelques questions suivantes afin de mettre en place des protections autant efficaces que possible :

-en interne, que se passerait-il pour l’entreprise en cas de divulgation des données détenues ?

-si un sabotage se produit, que faire ?

-le plan de continuité d’activité (PCA) ou un site de secours résolvent-ils vraiment la question si des données sont modifiées (et donc sauvegardées, confondues avec les données intègres) ?

LE RÔLE DES PROFESSIONNELS DU CHIFFRE

Lors de ses travaux d'audit des comptes annuels et des procédures de contrôle interne, le commissaire aux comptes est naturellement amené à détecter et cerner les risques liés en particulier au secteur d'activité et au système d'information de l'entité (approche par les risques, NEP 315...). Les experts-comptables sont également concernés par la prévention de la cybercriminalité dans le cadre de leurs missions de conseil et d'accompagnement des entreprises.

S’emparer du sujet en amont pour mieux y faire face

La cybersécurité n'est pas un sujet éminemment technique

Bien souvent, l’ANSSI observe que le sujet fait peur ou est laissé de côté, également par les professionnels du chiffre, parce que la cybersécurité est considérée, à tort, comme un sujet éminemment technique alors qu’il s’agit d’un sujet global, transversal, mais ne demandant pas systématiquement une grande technicité en amont, dans la phase d'analyse des risques et dans celle de prise en main stratégique du sujet. Les détails techniques pourront en réalité se régler avec les spécialistes au moment de la mise en œuvre des stratégies de protection.

En cas de recours à des prestataires extérieurs

Un réflexe à avoir est, en cas de recours à des prestataires extérieurs (cloud, etc.), d’inclure lorsque cela est utile une clause de réactivité dans le contrat. Une clause de réversibilité peut aussi être envisagée pour prévoir la possibilité d’une rupture du contrat en cas de rachat du prestataire par un autre prestataire (dans lequel l’entreprise aurait, par exemple, moins confiance).

Une clause d’auditabilité du prestataire peut également constituer un bon moyen de prévention afin de s'assurer que les prestataires sont en conformité avec les bonnes pratiques de cybersécurité.

En cas d'acquisition d'une entreprise

En outre, en cas d'acquisition d'une entreprise, pour l'acquéreur et ses partenaires, dont notamment le commissaire aux comptes, il est important d'intégrer le coût en termes de cybersécurité qui peut résulter de cette acquisition.

En effet, connecter directement le réseau de l'entreprise acquise à celui de l'acquéreur sans précaution peut réserver de très mauvaises surprises. En la matière, un audit préalable peut donc être utile.

Risques liés aux outils nomades

S’agissant des risques liés plus spécifiquement à la mobilité (voir RF Comptable 443, novembre 2016 « Assurez la sécurité de vos données lors de vos missions à l'étranger »), les entreprises peuvent se référer au modèle de charte informatique à l’attention des PME, proposé par l’ANSSI sur son site (voir ci-après).

Charte informatique pour les PME et ETI

Objectifs

La charte d'utilisation des moyens informatiques vise à contribuer à la préservation de la sécurité du système d'information de l'entreprise en faisant de l'utilisateur (en général, le salarié) un acteur essentiel dans la réalisation de cet objectif. Un « guide d'élaboration de charte d'utilisation des moyens informatiques et des outils numériques », plus spécifiquement dédié aux PME et ETI, est paru en juin 2017 sur le site de l'ANSSI et peut servir de modèle aux entreprises pour déterminer le plus rapidement, efficacement et pertinemment possible le contenu de leur charte informatique.

Nos commentaires et analyses ci-dessous s'inspirent pour partie de ce guide et s'intéressent, en premier lieu, aux objectifs de la charte.

En pratique, celle-ci permet d'informer le salarié sur :

-les usages permis des moyens informatiques mis à sa disposition ;

-les règles de sécurité en vigueur ;

-les mesures de contrôle prises par l'employeur pour assurer notamment le respect de ces règles ;

-les sanctions encourues en cas de non-respect de ces règles.

La charte a finalement pour objet de préciser les droits et devoirs de l'utilisateur. Il s'agit d'inviter ce dernier à une utilisation à la fois raisonnée et responsable (voire éthique ?) des ressources informatiques et technologiques de l'entreprise qui sont mises à sa disposition.

La charte pourra aussi, éventuellement, constituer un support juridique à la collecte de preuves numériques en cas de contentieux ou litige entre l'utilisateur et son employeur.

Analyse du contenu de la charte

Il existe plusieurs types de charte, allant d'une énumération des grands principes à une liste exhaustive des droits et devoirs des utilisateurs. Chaque entreprise définit le modèle de charte informatique qu'elle souhaite adopter en fonction de ses besoins, mais, en principe, une charte précise sera préférable afin d'éviter toute erreur d'interprétation par les utilisateurs.

En tout état de cause, pour être efficace, il faut qu'elle soit lisible, aisément compréhensible par chaque salarié ou utilisateur et ce, quel que soit son degré de familiarité avec l'informatique.

Elle doit comporter des définitions claires et précises. En particulier, les termes ou mots clefs utilisés dans la charte (notamment administrateur, messagerie électronique, moyens d'authentification, système d'information, utilisateur...) seront définis de manière à limiter leur interprétation juridique. Ces mots clefs peuvent néanmoins tenir compte des spécificités propres à l'entité et, par exemple, les moyens d'authentification pouvant varier d'une entité à une autre, ne pas se limiter à une explication générale.

L'entreprise peut également choisir de consacrer une partie de la charte à l'administrateur des systèmes informatiques. Cette partie mentionnera les droits, souvent étendus, qui lui sont confiés ainsi que les devoirs ou obligations renforcés (de loyauté, de transparence et de confidentialité) auxquels l'administrateur est, corrélativement, soumis.

Recenser les usages informatiques dans l'entreprise

Pour une efficacité optimale, l'entreprise doit connaître les usages qui sont faits de son système d'information (SI). Cela se traduit par des questions à poser aux utilisateurs ou aux managers de l'entreprise.

L'entreprise met-elle une messagerie professionnelle à disposition de ses salariés ? Ces derniers disposent-ils de connexions Wi-Fi ? Quels sont les moyens d'authentification prévus ? Est-il permis d'utiliser des supports amovibles et si oui, lesquels ?

Cet exercice permet de :

-recenser l'ensemble des besoins auxquels le SI doit répondre (gérer des besoins RH ou non, communiquer en externe sur des sujets sensibles etc.) ;

-répertorier l'ensemble des moyens informatique et des outils numériques mis à disposition des utilisateurs (postes de travail nomades ou non, smartphones, clés usb, imprimantes, serveurs de partage des fichiers, messageries, applications métiers...).

Les informations ainsi collectées permettront in fine de déterminer les pratiques autorisées (ou interdites) en fonction de la sensibilité du SI et, pour celles qui sont autorisées, les règles ou « bonnes pratiques » qui s'imposent aux utilisateurs.

Bon à savoir

À ce titre, la charte informatique pourra intégrer les bonnes pratiques préconisées par l'ANSSI (guides d'hygiène informatique et des bonnes pratiques de l'informatique, etc.).

Il est, par exemple, vivement recommandé de définir précisément les limites d'utilisation à titre privé des moyens informatiques de l'entreprise.

Dans le sens inverse, l'utilisation d'outils personnels à des fins professionnelles est déconseillée, notamment pour assurer la sécurité (voire l'innocuité) des données transférées au SI de l'entreprise via des outils nomades généralement.

La charte doit tenir compte de tous ces éléments et ainsi définir précisément les usages qui correspondent soit à une utilisation raisonnable, soit à une utilisation devant rester résiduelle soit, au contraire, à une utilisation interdite.

La charte informatique doit également intégrer les modalités d'exercice du droit à la déconnexion du salarié (c. trav. art. L. 2242-17, 7°).

Devoirs de l'utilisateur

Hormis les obligations générales qu'il est toujours utile de rappeler (confidentialité, discrétion, loyauté et vigilance), la charte contient également les devoirs de l'utilisateur, qui découlent directement des usages autorisés définis ci-avant. Ces devoirs vont du simple bon sens au respect de règles techniques spécifiques liées à l'architecture du SI de l'entreprise et des mesures de sécurité en vigueur.

Pour que le contenu de la charte ne reste pas conceptuel mais vite opérationnel, on peut également conseiller de décliner sous formes d'exemples concrets l'ensemble des devoirs qui y sont relatés (recommandations en termes de chiffrement de données, de choix des mots de passe, listes sécurisées de destinataires...).

Cet ensemble des devoirs de l'utilisateur prévu par la charte vise à le responsabiliser vis-à-vis du SI de l'entreprise et des conséquences d'éventuels comportements individuels inappropriés, voire préjudiciables, pour l'entreprise elle-même ainsi que ses collaborateurs.

Informer sur les mesures de contrôle et les sanctions

La charte doit également mentionner les mesures de contrôle mises en place par l'entreprise. Ces mesures peuvent être étendues, sous réserve qu'elles aient fait l'objet d'une information préalable des utilisateurs via la charte et, naturellement, qu'elles respectent, notamment, la réglementation sociale en vigueur. La charte liste, à cet effet, les différentes mesures de contrôle existantes ainsi que leurs conditions de mise en œuvre :

-conservation des données de connexion ;

-chiffrement des données ;

-déchiffrement des flux https ;

-gestion des accès ;

-contrôle des messageries professionnelles, etc.

Attention

Ces mesures devront être proportionnées à l'objectif poursuivi (c. trav. art. L. 1121-1 ; voir également RF Social 164, juin 2016, « Contrôle des appels, connexions et mails »).

Enfin, la charte indique également les sanctions encourues par un utilisateur qui ne l'aurait pas respectée. Il est, en principe, prévu une échelle de sanctions disciplinaires afin que les sanctions puissent être proportionnées à la gravité du manquement. Les sanctions d'ordre civil ou pénal sont naturellement du ressort des juridictions compétentes.

La charte lie autant l'employeur que l'utilisateur dans la mesure où si l'entreprise ne faisait pas appliquer et respecter la charte de façon effective, la tolérance antérieure de manquements à la charte risque d'entraîner, en cas de contentieux, l'annulation des sanctions prononcées sur ce fondement.

S'assurer de l'opposabilité de la charte

Un autre point essentiel pour garantir l'efficacité de la charte est de s'assurer de son opposabilité. Pour ce faire, il est nécessaire que les salariés utilisateurs l'ait acceptée, soit en apposant leur signature sur la charte soit en signant un document annexe de leur contrat de travail.

D'un point de vue pratique, pour éviter tout refus de l'utilisateur ou risque lié à une renégociation du contrat de travail, la charte informatique peut également être annexée au règlement intérieur de l'entreprise. Rappelons que ce dernier est bien entendu soumis au respect de la réglementation en vigueur dont, notamment, le respect des droits des personnes et des libertés individuelles (c. trav. art. L. 1321-3) et, le cas échéant, la consultation des instances représentatives du personnel (IRP). Dans l'hypothèse où l'entreprise procède à un ou plusieurs traitements des données à caractère personnel des utilisateurs concernés, elle doit bien entendu s'assurer d'être en conformité avec le Règlement général sur la protection des données (RGPD) entré en vigueur depuis le 25 mai 2018 (voir notre dossier RF Comptable 460, juin 2018).

En tout état de cause, pour être valable, la charte devra être portée à la connaissance des utilisateurs, via une notification individuelle (remise en main propre, e-mail...) ou être affichée ou diffusée sur l'Intranet de l'entreprise, par exemple, avec le règlement intérieur. À défaut, des sanctions prises à l'encontre d'utilisateurs (voir ci-avant) n'ayant pas connaissance de la charte pourraient être annulées par les juridictions compétentes.

Par ailleurs, en cas de recours à des tiers, utilisateurs extérieurs (sous-traitance, infogérance, partenariats, etc.), ces situations doivent être prises en considération afin que la charte puisse leur être opposable.

Une solution envisageable sur ce dernier point consiste, par exemple, à insérer la charte dans les contrats de l'entreprise conclus avec ces utilisateurs extérieurs. Ces prestataires devront alors informer leurs propres salariés du contenu de la charte informatique de leur(s) client(s) qui leur est ainsi opposable.

La directive network and information security (NIS)

Face aux menaces d'atteintes à la cybersécurité, un arsenal diversifié a été, comme nous l'avons évoqué précédemment, mis en place en particulier par l'ANSSI. À l'échelle européenne, outre le RGPD dédié à la sécurité des traitements des données à caractère personnel (voir ci-avant), le Parlement européen et le Conseil de l'UE ont adopté le 6 juillet 2016 la directive sur la sécurité des réseaux ou Network information system, également appelée directive NIS (directive UE 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union). Sa transposition est assurée en France par l'ANSSI.

La directive NIS a pour ambitions :

-de renforcer les capacités nationales de cybersécurité ;

-d'établir un cadre de coopération volontaire pour les États membres de l'UE ;

-de renforcer la cybersécurité des « opérateurs de services essentiels au fonctionnement de l'économie » généralement dénommés opérateurs d'importance vitale, dans chaque État membre ;

-d'instaurer des règles de cybersécurité communes concernant les prestataires de services numériques (cloud, moteurs de recherche, places de marché en ligne).

Les 28 États membres de l'UE avaient jusqu’au 9 mai 2018 pour transposer cette directive dans leur droit national. S'agissant de la France, la loi 2018-133 portant diverses dispositions d'adaptation au droit de l'Union européenne dans le domaine de la sécurité a été adoptée le 26 février 2018. Cette loi comporte, en particulier, des mesures visant à renforcer la sécurité des réseaux et systèmes d'information des opérateurs de services essentiels, publics ou privés, désignés par le Premier ministre. Signalons qu'en pratique, la liste de ces opérateurs est actualisée à intervalles réguliers et au moins tous les 2 ans (loi 2018-133 du 26 février 2018, JO du 27, art. 5).

Néanmoins, avant cette date, la plupart des dispositions de gouvernance visées par la directive étaient d’ores et déjà couvertes. En effet, notre pays se repose déjà sur une organisation nationale existante, jugée mature et fonctionnelle : une stratégie nationale pour la sécurité du numérique (présentée en 2015) ; une autorité nationale en matière de cybersécurité et de cyberdéfense (l’ANSSI), qui participe par ailleurs au groupe de coopération rassemblant les États membres et un centre de réponse aux incidents (le CERT-FR), impliqué dans les échanges opérationnels avec les autres CSIRT nationaux existants.

Pour mémoire, un computer emergency response team (CERT) ou computer security incident response team (CSIRT) est un centre d'alerte et de réaction aux attaques informatiques, destiné aux entreprises ou aux administrations, mais dont les informations sont généralement accessibles à tous.

Même si les entreprises de services et du secteur financier sont particulièrement visées, toute entité peut être prise pour cible, au hasard, par les cyberattaquants.

Pour se prémunir contre ces attaques, les entreprises doivent effectuer une analyse des risques et intégrer des mesures de sécurité, en amont et en aval de leurs opérations courantes, mais également en cas d'acquisition d'une entité.

Les professionnels du chiffre sont naturellement amenés à les accompagner dans ces démarches.

L'ANSSI propose un ensemble de recommandations pratiques, spécifiquement dédiées aux PME et ETI, pour définir efficacement une charte informatique et son contenu.

Parution: 06/2018
Droits de reproduction et de diffusion réservés © Groupe Revue Fiduciaire 2018. Usage strictement personnel. L'utilisateur du site reconnaît avoir pris connaissance de la licence de droits d'usage, en accepter et en respecter les dispositions.