Actualité Médias Communiqués de presse L'Indépendante L'UDI Le Comité de l'UDI Agenda Statuts de l'UDI Pourquoi en faire partie ? Vos questions Soutien d'urgence Activités Assemblée Générale Résumé table ronde La chronique de l'indépendant Conférences Protection des données Gestion du changement Promotion économique cantonale Gestion des RH dans une société Burn-out et conduite du changement Piratage informatique Succession d'entreprise Feedback rencontre Politique Adhésion Contact
Activités > Conférences > Piratage informatique

Piratage informatique: comment protéger son entreprise

Conférence l'UDI - 16 novembre 2021 - Ecole Ardévaz

Conférence de Frédéric Aubert

Tout d'abord Frédéric Aubert, de SerenIT, se présente. Il procure des services informatiques pour des entreprises qui souhaitent sous-traiter leurs services informatiques. Il explique qu'aujourd'hui des véritables organisations de pirates informatiques se sont mis en place et que pour se protéger au mieux des pirates informatiques chaque entrepreneur doit réfléchir à l'entier des processus de son entreprise : facturation, acquisition de nouvelles affaires, gestion des dossiers, comptabilité interne, etc.
Une restauration des données peut prendre plusieurs semaines ce qui aura un impact certains sur les liquidités. Par exemple, avec simplement une facture pour la société informatique qui devra restaurer les données, une société impactée peut faire faillite.

Même les petites entreprises comme des indépendants peuvent être impactés. L'usurpation d'identité est un gros problème pour des indépendants. Les pirates peuvent acheter en votre nom sur des sites étrangers.

Il est donc important de réduire sa vulnérabilité par deux axes:

  1. Axe technique: avec des logiciel non mis à jour, la prise de contrôle des périphériques existe. Les cryptolocker d'aujourd'hui sont intelligents : ils restent silencieux et attaquent les sauvegardes (par exemple copie disque dur). Il est donc recommandé de faire des sauvegardes en ligne (cloud) non accessible par son système car celui-ci pourrait être compromis.
  2. Axe organisationnel : être ferme sur les points sensibles pour éviter que les employés ne mettent en danger la structure, par exemple en formant des collaborateurs. Il ne faut jamais utiliser son mot de passe professionnel autre que pour son entreprise, sur des sites privés par exemple. Dans le cas de l'arnaque au président, il peut être utile de définir une règle d'exception autorisant une transaction bancaire. Il faut définir à l'avance des règles du jeu: est-ce que l'employé peut aller avec son PC professionnel télécharger une pièce jointe sur son adresse gmail privé. Il est également recommandé de définir une personne de confiance pour la sécurité, qui soit autre que le patron ! Certains employés n'osent pas dénoncer des erreurs de leur part au patron par peur de déranger. Il faut être prêt à agir tout de suite si cela arrive ! Par exemple prendre contact avec les autres sociétés pour annuler les achats fait en son nom, changer les mots de passe, etc

Il est utile de faire une charte informatique que tous les employés s'engagent à signer. Des test d'autoévaluation de son système de sécurité peuvent être télécharger sur le national security center.

Pour finir, il faut toujours se poser la question suivante: si tout est bloqué et que je n'ai plus d'informatique, qu'est-ce que je fais ?

Conférence de Sébastien Fanti

Sébastien commence sa conférence sur la Loi sur la protection des données (LPD) avec une entrée en vigueur 1er janvier 2023. Cette loi est en deçà du cadre européen et prévoit un contrôle du traitement des données par un expert européen. Il y a des craintes que l'UE puisse refuser de partager certaines données avec la Suisse. La LPD ne concerne que les données des personnes physiques.

Sébastien rappelle que la donnée la plus sensible dans une entreprise est l'allocation familiale perçue par les employés, car elle peut révéler le nombre d'enfants qu'un employé a (et éventuellement des enfants cachés à son partenaire).

Il est important que les associations professionnelles édictent un code de conduite pour le traitement de données pour simplifier les démarches pour les entreprises qui doivent se soumettre à la nouvelle loi. Une multitude de nouveaux accessoires informatiques devront être certifier conforme à la LPD : clés USB, ordinateurs, matériel informatique, etc. Les entreprises devront tenir un registre des activités de traitement.

Le droit d'accès aux données de la personne concernée par elle-même sera amélioré. Si en cas de demande d'un requérant, l'entreprise ne donne rien, elle risque une action civile. Si l'entreprise ne donne pas tout, elle risque une action pénale. L'entrée en vigueur est fixée au 1er janvier 2023. Il n'y aura pas de délai d'attente ! Dans le cadre de la protection des données, le mandant est responsable du traitement des données de son sous-traitant. Il faut donc s'assurer des références des tiers avec lesquels on travaille.
Il est important de rejoindre des associations professionnelles pour se coordonner et préparer son traitement de données (Sébastien Fanti a justement rejoint l'UDI). Un nouveau site internet : lpd-dsg.ch sera mis en ligne avec un calculateur d'amende pour faire des provisions pour litige.

Sur le sujet des conséquences légales d'un piratage, actuellement il n'y a pas de sanction s'il y a un vol d'identité, il reste seulement un dégât d'image médiatique. Les coupables des piratages sont rarement arrêtés et les assurances ne couvrent pas la totalité des dommages. On fonctionne en auto-assurance.
Dans un arrêt récent du Tribunal Fédéral, un administrateur a été attaqué par son entreprise (actionnaires) car celui-ci a été victime d'une arnaque au président causée par la faute involontaire de l'administrateur. Il y avait une faille de sécurité dans le système mais l'administrateur a été condamné quand même, quand bien même il n'avait pas la volonté de nuire à sa société. Ainsi un secrétaire ou collaborateur qui clique sur un mauvais lien peut être tenu comme responsable. C'est une jurisprudence importante où la victime peut encore être attaquée.

On peut trouver des signes avant-coureurs sur le darknet pour prédire une attaque et il ne faut jamais mentir quand on a subi une attaque. Dans les conseils d'administration, il devient recommandé d'avoir un spécialiste cybersécurité/protection des données.

Dans le cas des collectivités publiques, les communes se fient à leur prestataire de sécurité informatique. Il faut faire jouer la concurrence avec des contrats-types pour éviter les rentes de situation avec des clients captifs.

Merci à l'école Ardévaz pour l'accueil !

Téléchargements

Présentation SerenIT (1.85 Mo)