L'enjeu colossal
de la protection
des données

Chassez les idées reçues, les PME et autres entités publiques demeurent bel et bien la cible des hackeurs, et même en Suisse. Chiffres à l’appui, ce ne sont pas moins de 4’800 attaques qui ont été effectuées sur les entreprises en Suisse depuis 5 ans et 2’700 entre août 2020 et août 2021.

En l’espace de douze mois, le nombre d’attaques a augmenté de 30%. Outre les conséquences connues liées à la perte de maitrise et au vol de ses données, les aspects financiers en sont tout autant affectés, entre les rançons versées et autres coûts engendrés.

En tant que PME ou entités publiques, quelles sont les véritables menaces à anticiper et comment s’entourer ? Retrouvez ci-après quelques éléments de réponse avec Flavian Stoll, Chef de projet et Spécialiste Sûreté, Sécurité au Travail et Protection de la Santé pour étic SA.

À quelles menaces les entreprises sont-elles exposées ?

Le blocage ou la perte de données affecte la continuité́ des activités de l’entreprise, impactant ses finances tout comme sa réputation. « Aujourd’hui, tous les types d’entreprises sont susceptibles de subir une attaque et un vol de données, les grandes comme les plus petites. La différence se situe dans les moyens consacrés à l’anticipation. Avec l’avènement de la technologie, nous avons accès à tout très facilement. Le monde digital, malgré toutes ses qualités, apporte une grande complexité mais aussi de nombreuses opportunités aux personnes malveillantes. Sachant de plus que le digital n’ayant pas de frontières, les menaces peuvent provenir de l’autre côté de la planète, bien qu’en Suisse nous ayons ce sentiment omniprésent de sécurité », explique Flavian Stoll.

Si un grand nombre d’entreprises ne sont pas encore suffisamment sensibilisées aux risques, celles qui le sont font le pas de mettre en place des mesures de protection qui se traduisent par des formations, des logiciels et autre matériel. Ces actions représentent certes des coûts élevés, mais qui ne sont rien à posteriori d’une attaque.

Anticiper les risques grâce à la technique et à la technologie

Pour Flavian Stoll, « on collectionne des données depuis des années, on capitalise toujours davantage dessus mais personne n’a jamais vraiment été éduqué à gérer ces données. Le monde a fortement évolué, mais la sécurité au sens large n’est malheureusement que peu abordée dans les entreprises. » L’anticipation s’appuie alors sur deux aspects :

La technique : à savoir le fait de mettre à jour les systèmes et les firewalls de manière rigoureuse, mais aussi le smartphone puisqu’aujourd’hui les différents appareils sont interconnectés. « Aujourd’hui, les entreprises se doivent d’être « techniquement propres » sur ce qu’elles mettent en place », poursuit Flavian Stoll.

La technologie : à savoir les moyens d’authentification, par exemple avec le smartphone, les mots de passe ou la double authentification, mais aussi l’aspect organisationnel et la formation des personnes dans l’interprétation des données. « Les menaces proviennent souvent du manque d’éducation et de sensibilisation des utilisateurs, notamment par le biais de courriels malveillants. Il y encore d’énormes failles à ce niveau-là. »

Et si l'humain était la clé ?

Flavian Stoll est formel : « Le facteur humain est la principale faille en matière de sécurité. Il est essentiel de porter attention sur ce que l’on partage et surtout sur les courriels que l’on ouvre, parfois par simple manque d’attention. Et à ce niveau-là, toutes les générations sont concernées. » À noter qu’il existe des études de neurosciences qui décryptent le comportement des internautes ou leur état d’esprit selon la période de la journée. « Les hackers utilisent ces notions sociales pour arriver à leurs fins, ils sont très bien informés et préparés. »

Si la prise de conscience du chef d’entreprise se présente comme la première étape importante du processus, la mise en œuvre sur le terrain et l’implication des collaborateurs en sont d’autres. La sécurité́ des données nécessite une expertise, raison pour laquelle il est essentiel, pour une entreprise, de se faire accompagner par des professionnels. « Il peut s’agir de bien analyser et/ou de revoir les contrats de prestations que l’on a avec son service informatique afin de garantir un plus haut niveau de sécurité. Pour aller plus loin, des entreprises d’audit vont également pouvoir réaliser une analyse pointue et un panorama de la situation autant sur le plan technique qu’humain et comportemental. »

La méthode étic SA

Depuis plus de 20 ans, étic SA est spécialisée dans l’analyse stratégique des enjeux de sureté, de sécurité et de risques. Elle accompagne institutions publiques ou entreprises privées dans une approche globale, avec une vision à 360°, au-delà d’une «simple» résolution de problèmes opérationnelle. Acteur avant-gardiste du marché, étic SA assure une veille constante des évolutions autant technologiques que législatives pour permettre à ses clients d’anticiper les risques, en détectant à temps les tendances et les enjeux en matière de sécurité et de sureté.

étic SA s’appuie sur une méthode simple et efficace pour évaluer la protection des données de ses clients. Elle procède à l’analyse documentaire et à l’évaluation sur site des domaines «IT Security » et «Data Privacy». S’en suit le contrôle de la sécurité́ informatique au sein de l’entreprise, la réalisation d’une analyse d’impact (DPIA) et la proposition de mesures informatiques et organisationnelles pour une anticipation optimale.

Que dit la loi en matière de protection des données ?

Claire Berger, Spécialiste juridique pour étic SA, fait le point sur la révision de la Loi sur la Protection des Données (PPD) et ses conséquences légales sur les PME.

« La révision de la LPD a pour but d’améliorer le traitement des données personnelles et d’accorder de nouveaux droits des citoyens, la LPD actuelle étant dépassée en raison de l’évolution technologique. Cette nouvelle loi introduit également plusieurs obligations pour les entreprises.

Elle accorde notamment aux consommateurs des droits d’information, de suppression ou de transfert de leurs données. Afin de garantir ces droits, les entreprises devront notamment répondre aux requêtes de leurs clients et notifier les violations de la sécurité des données. Plus une PME traite de données sensibles, plus l’application de la loi sera exigeante pour elle.

La révision se rapproche du règlement général de l’UE sur la protection des données (RGPD). Cette révision était nécessaire afin que l’UE continue de reconnaître la Suisse comme un État tiers ayant un niveau de protection des données suffisant pour que la possibilité d’échanger des données avec elle soit sauvegardée.

La nouvelle LPD entre en vigueur le 1er septembre 2023. Afin de s’y préparer, les PME sont invitées à analyser les risques qu’impliquent leurs activités liées au traitement de données personnelles. Elles peuvent également sécuriser davantage leur infrastructure et informer leur personnel sur cette thématique. Pour finir, elles doivent s’assurer que leurs contrats soient progressivement adaptés aux nouvelles exigences légales. »

Facebook
Twitter
LinkedIn
WhatsApp
Email