Si vous n’avez pas suivi l’événement en direct sur paperjam.lu, retrouvez aujourd’hui l’intervention d’Astrid Wagner, Partner chez Arendt & Medernach dans l’équipe IP, Communication & Technology.
«Les données sont le nouvel or, quelle que soit leur nature», c’est ainsi qu’Astrid Wagner débute son intervention. Les données, ce sont les commentaires que l’on laisse sur les réseaux sociaux, les informations personnelles que l’on confie aux annonceurs en utilisant leurs services, ou bien les données que les entreprises produisent elle-même à partir de leur activité. Dans tous les cas, ces données ont aujourd’hui un potentiel et une valeur immenses pour celui qui en dispose. Qui dit grande valeur, dit également risque de vol. «Celui qui dispose d’une donnée pourra toujours en tirer profit, de quelle que manière que ce soit, et malheureusement, parfois, de manière frauduleuse», insiste notre oratrice, avant de poursuivre: «Parmi toutes ces données il y a celles qui contiennent des renseignements sur votre origine ethnique, votre orientation sexuelle ou politique, vos croyances, et donc, toutes celles qui mènent à un risque de discrimination en cas de révélation. Ces données ne peuvent être collectées que sous des conditions très strictes et doivent être protégées tout particulièrement.» Autres données sensibles qui suscitent la convoitise des hackers: les données financières, bien évidemment. Le secteur financier, l’industrie des fonds et le commerce en ligne, par exemple, sont particulièrement concernés par le risque de cyberattaque.
Pour les entreprises, posséder ces données, qui plus est, lorsque ce sont les données personnelles de leurs clients, c’est aussi en porter la responsabilité. Les entreprises qui récoltent des informations relatives à des personnes physiques, comme les utilisateurs de leur service par exemple, doivent non seulement les en informer, mais aussi leur assurer qu’elles prendront soin de ces dernières. Confier ses données à une entreprise, c’est lui faire confiance quant au fait que ces informations ne seront pas détournées pour un usage autre que celui pour lequel elles ont été collectées et qu’elles seront en sécurité. «C’est toute la raison d’être du Règlement général sur la protection des données, connu sous l’acronyme «RGPD», et auquel toutes les entreprises européennes doivent se conformer», poursuit Astrid Wagner. La cybersécurité est indispensable au respect du RGPD et doit donc être prise très au sérieux par toute entreprise.
Aucune protection n’est jamais sûre à 100%, mais anticiper le pire permet de réduire les dégâts en cas d’attaque
Si la législation liée aux questions de cybersécurité est aujourd’hui harmonisée à l’échelle européenne, le Luxembourg fait partie des bons élèves. «Le pays est aujourd’hui reconnu pour ses compétences en la matière, bien au-delà de ses frontières», précise notre intervenante. Au Grand-Duché, ce sont en effet plus de 300 entreprises qui sont actives dans ce secteur, créant ainsi un véritable écosystème de développement des plus dynamiques sur les questions de cybersécurité. Le pays dispose en outre des infrastructures les plus développées, des data centers parmi les plus sécurisés en Europe. Ces compétences renforcent d’ailleurs l’attractivité économique du pays de façon évidente.
Mais que faire pour se protéger du risque d’une cyberattaque? La première mesure à mettre en place est celle de la formation interne. «Il faut former et sensibiliser les équipes à ces problématiques, toutes les équipes, du board, en passant par le C-level, jusqu’aux employés», recommande Astrid Wagner. L’erreur humaine est en effet souvent à l’origine d’une brèche de sécurité, comme le précise le rapport annuel 2019 de la CNPD.
La réponse se trouve également dans l’anticipation. L’analyse et le monitoring de la sécurité des systèmes d’information, des activités digitales mais également de la sécurité physique doivent bien entendu être réguliers, proactifs et optimaux, mais des scénarios prévisionnels d’urgence et des processus de gestion des incidents doivent aussi être établis et implémentés en amont. Contracter des assurances qui couvrent ce type de sinistre est également indispensable, après avoir opéré une analyse complète de l’état des systèmes informatiques de l’entreprise. Comme le précise bien notre experte, «aucune protection n’est jamais sûre à 100%, mais anticiper le pire permet de réduire les dégâts en cas d’attaque».
La question n’est pas de savoir si une entreprise sera l’objet d’une cyberattaque, mais plutôt de savoir quand celle-ci aura lieu
Comment réagir en cas d’attaque? «La première chose à faire, après avoir identifié et isolé l'ordinateur ou les ordinateurs touché(s) par l'attaque, est de rassembler un groupe d’experts, d’abord internes, puis externes, dans les domaines IT, communication et juridique qui travailleront ensemble afin de comprendre ce qu’il s’est passé, de décider des réponses à apporter, de convenir d’une stratégie de communication et d’analyser les notifications règlementaires qui doivent être faites tout en travaillant en parallèle à restaurer les systèmes.», voici les priorités pour Astrid Wagner. Là encore, l’anticipation d’une telle situation aura un grand intérêt. Ce n’est pas une fois que la brèche est ouverte qu’il faut se demander qui contacter.
Enfin, si un vol de données représente un risque élevé pour les droits et les libertés des personnes concernées, celles-ci doivent en être informées. La transparence est de mise, même si l’opération de communication peut s’avérer délicate. À nouveau, des spécialistes peuvent accompagner l’entreprise à cette fin pour que le message soit passé de façon certes transparente mais aussi rassurante pour les personnes concernées. C’est la réputation de l’entreprise victime de l’attaque qui est en jeu.
«La question n’est pas de savoir si une entreprise sera l’objet d’une cyberattaque, mais plutôt de savoir quand celle-ci aura lieu», tranche notre oratrice. Une déclaration qui a le mérite d’être réaliste et qui devrait pousser toutes les entreprises, quel que soit leur domaine d’activité, à anticiper un tel scénario.
Réécoutez l’intégralité du podcast Arendt We Live en cliquant sur le lien ci-dessous:
3 questions express à Astrid Wagner
• Le RGPD est-il une garantie suffisante du côté des utilisateurs?
«Oui, les règles et principes du RGPD protègent strictement et suffisamment les données personnelles des utilisateurs. La mise en conformité par rapport au RGPD est cependant coûteuse, surtout pour des petites entreprises, et très contraignante aux yeux de certaines entités souhaitant exploiter leurs données clients, y inclus des données personnelles, au maximum. Les autorités de protection des données nationales qui sanctionnent plus ou moins lourdement les responsables de traitement ou les sous-traitants qui violent les dispositions du RGPD ont également un rôle essentiel à jouer.»
• Quelle mesure conseilleriez-vous à toutes les entreprises de mettre en place au plus vite?
«Il faut que les entreprises sensibilisent leurs employés au sujet de la cybersécurité, car l’humain est souvent le maillon faible dans la chaîne de la sécurité informatique. La prise de conscience de l’importance du sujet doit commencer au niveau de l’organe de gestion, du board, de l’entreprise qui pourra adopter des moyens (RH et financiers) pour accroître la sécurité des systèmes informatiques, mettre en place une procédure de gestion des incidents efficace et organiser une campagne de sensibilisation des employés.»
• Quel impact aura la crise du Covid sur la sécurité informatique des entreprises?
«La crise du Covid a contraint la majorité des entreprises à accélérer leur processus de transformation digitale souvent déjà initié avant la crise et, dans la mesure du possible, à organiser le travail à distance de leurs salariés. La digitalisation et le télétravail mènent à un accroissement de la cyber-menace. Il y aura donc à mes yeux deux types d’entreprises : celle qui prennent la cybersécurité au sérieux et y allouent suffisamment de ressources et celle qui ne mesurent pas l’importance de la cybersécurité. Ces dernières risquent gros... et en particulier la perte de leur or : leurs données !»