Cybersécurité

Les documents physiques ne doivent pas non plus tomber entre de mauvaises mains. Les principales règles à respecter sur le lieu de travail:

• L'accès à vos bureaux et à vos archives ne doit être possible que pour les personnes autorisées
• Etablissement d’une politique de clean desk
• Elimination des dossiers et des documents au moyen d’un destructeur de documents 
• Pas de mots de passe ou de données sensibles sur des post-it, non plus sur les tableaux d'affichage ou les flip charts.
• Clés USB ou autres supports de données cryptés.
• Mener des entretiens (téléphoniques) confidentiels dans un espace protégé

Propre infrastructure

Que vous utilisiez votre propre serveur ou que toute votre infrastructure soit hébergée et gérée pour vous par votre partenaire informatique: Certains appareils se trouvent toujours chez vous. Il est judicieux de tenir compte des points suivants :

• Crypter les disques durs des ordinateurs portables 
• Écran de veille pour les ordinateurs et les moniteurs.
• Pas de vue directe sur les écrans et utilisation de films d’anti-regards 
• Création et utilisation de mots de passe selon les normes de sécurité généralement reconnues et utilisation d'un gestionnaire de mots de passe
• Utilisation d’une connexion réseau virtuelle privée (VPN) ; accès WLAN pour les invités distincts 
• Pas d'utilisation de clés USB et de supports de données étrangers ou sécurisation des entrées USB par des cadenas USB
• Précautions particulières pour travailler en déplacement

Infrastructure externe

Même si vos systèmes informatiques sont gérés par une entreprise externe ou si vous stockez toutes vos données dans le cloud, il y a tout de même quelques mesures de sécurité et règles à respecter:

• Utilisez un mot de passe différent pour chaque compte
• Créer et utiliser des mots de passe selon les normes de sécurité généralement reconnues et utiliser un gestionnaire de mots de passe
• Sécuriser les données confidentielles de l'entreprise avec votre propre méthode de cryptage avant même de les télécharger
• Sauvegarder localement et dans le nuage 
• Sélectionner des fournisseurs de service en nuage sérieux 
• Connexion ou authentification sécurisée
   

En plus d'un mot de passe sûr, le cryptage des e-mails est un thème important dans le domaine de la sécurité des données. Sensibilisez également vos collaborateurs aux faux e-mails, appelés hameçonnage ou Phishing.

La plupart des virus informatiques se propagent par le biais de pièces jointes à des e-mails, il convient donc d'être prudent lors de l'ouverture de pièces jointes. Par conséquent, Il est nécessaire d'utiliser un programme antivirus.

Les fichiers plus volumineux et les grandes quantités de données ne peuvent pas être envoyés par courrier électronique. Au lieu de clés USB, on utilise aujourd'hui principalement des services de partage de fichiers. Selon le type de données que vous souhaitez transférer, tous les services de partage de fichiers ne sont pas adaptés.

Le travail en home-office peut être profitable tant pour les entreprises que pour les collaborateurs. La législation sur la protection des données ne l'exclut pas. L'employeur devrait fixer par contrat les règles applicables en matière de protection des données dans le home-office et en déplacement.

Si vous appliquez toutes les règles et recommandations ci-dessus, vous disposez déjà d'un niveau de sécurité supérieur à la moyenne. L'important est de vérifier périodiquement le respect des règles et de rappeler régulièrement à tous les collaborateurs les règles en vigueur. Selon la nature de votre environnement informatique, des contrôles de sécurité réguliers sont recommandés. En outre, il est recommandé de souscrire une assurance contre les cyberrisques.

Après un piratage réussi de votre système, de vos appareils ou de vos comptes, nous vous recommandons de prendre les mesures suivantes:

1. Déconnecter physiquement les appareils et les éteindre. Déconnectez également le réseau WLAN. Confiez l'appareil, l'ordinateur ou le serveur à un spécialiste. Si votre infrastructure se trouve dans un centre de données ou si vous utilisez des services de cloud, contactez immédiatement votre fournisseur et passez à l'étape deux.
2. Modifiez vos mots de passe/données d'accès à tous les services importants tels que: comptes de messagerie électronique, e-Banking, connexions au système et comptes de médias sociaux.
3. Contrôlez vos comptes et - si c’est encore possible - vos systèmes pour voir si des données ont été modifiées ou supprimées, si des emails ont été envoyés ou si de nouveaux motos de passe ont été demandés. 
4. Déclarez votre cyberincident en ligne auprès du Centre national de Cybersécurité NCSC de la Confédération. Selon le type d'incident, une déclaration au Préposé fédéral à la protection des données et à la transparence (PFPDT) peut être nécessaire. Conformément à la nouvelle loi sur la protection des données (en vigueur à partir du 1er septembre 2023), une violation de la protection des données personnelles doit être signalée à l'autorité de surveillance compétente, si possible dans les 72 heures suivant la prise de connaissance de la violation. Si vous avez souscrit une cyber-assurance, le dommage doit être déclaré à l'assurance.
5. Pour éviter les dommages à la réputation, une communication professionnelle est essentielle. Il faut d'abord informer en interne, puis – si des données clients sont concernées – les clients concernés et seulement ensuite les médias. Un professionnel de la communication externe peut vous aider dans une période aussi exigeante.
6. Des prestataires spécialisés vous aideront à réparer et, le cas échéant, à restaurer votre infrastructure.

Conseil: Utilisez les connaissances acquises lors d'un tel incident pour améliorer vos processus et vos systèmes.

Sur le site web de FIDUCIAIRE|SUISSE, vous trouverez des informations utiles sur le thème de la « Cybersécurité », les premiers secours et le soutien en cas d'urgence, divers guides, etc. : https://www.treuhandsuisse.ch/fr/cybersecurite

Vous ne voulez pas manquer d'articles de blog ? Abonnez-vous à notre blog ici.