Move to cloud, Travail hybride … L’accélération de la transition digitale des entreprises met à rude épreuve le travail des RSSI …

L’approche Zero Trust différencie les politiques réellement adaptatives de la simple authentification. Elle est basée sur le concept selon lequel tous les utilisateurs, à l’intérieur et à l’extérieur du réseau d’une organisation, doivent avoir d’une authentification, d’une autorisation et d’une validation de sécurité pour accéder aux applications ou aux données.

Par conséquent, ce nouveau modèle de sécurité de réseaux limite la confiance et les privilèges accordés aux collaborateurs, dans le but de prévenir la fuite des données, tout en s’assurant de l’identification de l’utilisateur.

Expert Line vous explique les principes et avantages du Zero Trust !

Tout appareil connecté à Internet risque de devenir la prochaine victime d’un ransomware, Expert Line vous rappelle quels sont les enjeux et risques de ses malwares destructeurs.

Ces derniers mois, le terme « ransomware » est apparu dans d’innombrables gros titres dans le monde entier : Le Monde ;  le Figaro ; The Wall Street Journal , la BBC…

Les tendances observées de la cybersécurité sont claires : non seulement les cybermenaces continueront à frapper les organisations publiques et privées en 2022, mais elles vont monter en puissance.

A présent, ce n’est plus un sujet seulement discuté par les RSSI et DSI, mais aussi par la presse, les politiciens, les directeurs d’hôpitaux, etc.

« Seulement 8% des français savent précisément ce que sont les NFTs ». Source : étude Ifop

La plateforme NFT Rarible attire plus d’un millier d’utilisateurs chaque mois, et a engendré environ 270 millions de dollars en 2021. Cela en fait l’un des plus grands marchés NFT au monde à l’heure actuelle.

Une plateforme imposante n’est-ce pas ? Néanmoins même les plus grandes plateformes peuvent être sujettes aux failles de sécurité …

Récemment notre partenaire Check Point a publié un rapport relatif à une vulnérabilité qu’ils ont découvert sur la plateforme Rarible.

Voici le lien du rapport qui a été rédigé par les experts Check Point ⬇️

https://research.checkpoint.com/2022/check-point-research-detects-vulnerability-in-the-rarible-nft-marketplace-preventing-risk-of-account-take-over-and-cryptocurrency-theft/

Utilisez-vous ou comptez-vous utiliser les cryptomonnaies au sein de votre entreprise ? Le bitcoin est désormais présent dans la trésorerie de certaines sociétés françaises. Les sociétés qui ont recours aux cryptomonnaies ont des profils qui ne sont pas forcément liés au secteur de la tech et de l’IT, même plusieurs géants du CAC40 y pensent sérieusement.

Depuis début 2020 de nombreuses entreprises françaises choisissent d’imiter Tesla pour placer une partie de leur trésorerie dans les cryptos.

« D’après des entretiens menés auprès de 29 entreprises du secteur les plus importantes en France, les levées de fonds dans l’industrie “crypto” française cumulent 1,2 milliard d’euros au total. » source : capital.fr

Mais pourquoi de plus en plus d’entreprises se tournent vers les cryptomonnaies ? Voici plusieurs avantages :

✅ Les opportunités d’investissement

✅  Pas de banques / intermédiaire

✅ Des paiements internationaux

Néanmoins les nouvelles technologies sont un paradis pour les hackers … Expert line vous donne son avis sur le sujet, n’hésitez pas à regarder cette première mini-série sur l’univers des cryptos.

Notre solution : un service SOC

Optimiser le contrôle de vos processus de surveillance face à Mars Stealer !

Un SOC est composé d’équipes d’experts en sécurité informatique qui sont en alerte 24h/24h et 7j/7j. Ils seront en mesure d’observer le comportement de votre ordinateur et détecter immédiatement une menace, ainsi cette dernière sera neutralisée avant d’avoir eu le temps de voler vos informations sensibles et clefs privées.

Cyber attaques – Pourquoi il faut s’assurer contre les risques cyber …

D’après la BPI « En seulement un an, elles ont augmenté de 255 % selon l’ANSSI, passant de 54 attaques rapportées en 2019 à 192 attaques en 2020.
Viennent ensuite les piratages informatiques avec 16 % de recherches d’assistance, puis les piratages de comptes (11 %) ».

En vérité, on peut multiplier ce chiffre par 10 ou même par 100, sans se tromper ….

La Cnil à elle seule a recensé 2825 notifications de violation de sécurité. S’il existe une part de violation accidentelle, elle est, semble-t-il, résiduelle…

Les attaques se comptent donc plutôt en milliers qu’en centaines. Et ce fléau n’est pas prêt de s’arrêter !

Chacun de nous reçoit au moins une fois par semaine, si ce n’est pas jour, un mail bidon de type phishing ou rançongiciel…

Si la plupart des vulnérabilités se situent entre la chaise et le bureau, la question n’est donc pas de savoir si vous allez être piraté mais quand ?  Et quand vous serez piraté, serez-vous prêts ?

D’ailleurs expert line a bien compris ces enjeux et accompagne ses clients à travers des prestations de Pentest et une solution hyper « friendly » de training dédié aux salariés : Cyber Ready

Je vous laisse en parler avec eux et lire ou relire mon article sur la sensibilisation des utilisateurs : bonnes partiques ou obligations ?  😉

Qu’est-ce qu’implique être prêt à une attaque cyber ?

Il existe plusieurs niveaux :

• Humain : Qui fait quoi ?
• Technique : Que fait-on et avec quels outils ?
• Organisationnel : Comment fait-on ?

Soit vous êtes prêt en interne, soit vous avez confié cette responsabilité à un tiers …

Dans tous les cas c’est à ce moment précis que l’assurance cyber prend tout son sens !

Quel est le rôle de la cyber assurance ?

La plupart des assurances RC pro ou dommage excluent le risque cyber donc il est important de bien vérifier ce point et ne pas hésiter à s’assurer au besoin de manière spécifique.

La notion d’assurance cyber risque ne se résume d’ailleurs pas aux attaques informatiques mais beaucoup d’entre elles ont un scope plus large notamment les sinistres informatiques suite à une erreur de manipulation par votre entreprise ou un prestataire.

Non seulement l’assurance cyber permettra de couvrir les conséquences financières de l’attaque (perte d’exploitation par exemple) dans la limite des franchises et des plafonds mais surtout une « bonne » assurance cyber comportera un volet « assistance ». Cette assistance, souvent limitée aux premières 72h, permettra de déclencher une armada juridico-technique : spécialiste en gestion de crise, conseil en cyber, avocat spécialisé, …

Tout l’intérêt de l’assurance est donc la mobilisation de ces acteurs dans les heures et les jours les plus cruciaux de l’attaque.

Ils prendront en charge l’analyse, les mesures correctives, les notifications Cnil, la gestion de preuve, la plainte pénale, etc.

De votre côté, n’oubliez pas de faire votre dossier de préjudice, qui est « LE » dossier le plus important puisqu’à la fin il faudra aussi parler gros sous avec votre assureur et c’est souvent à ce moment-là que la relation se tend un peu J …  et que l’on découvre les exclusions et les petites lignes.

L’assurance cyber présente une autre vertu puisque de plus en plus d’assureurs conditionnent leur couverture à la mise en œuvre d’un niveau de sécurité adapté. De fait, la démarche s’inscrit dans un cercle vertueux.

Enfin, certaines assurances (la plupart en vérité) proposent aussi de couvrir, moyennant là aussi plafond et franchise, le paiement d’une rançon en cas de ranconware.

La chose n’est peut-être pas très éthique mais elle a le mérite d’être très efficace car souvent le coût de la rançon est inférieur au préjudice subi ou à venir. Il faut savoir qu’un débat est récemment né sur ce sujet et que la légalité de ce type de couverture pourrait, à terme, être remise en cause….

Donc profitons-en tant qu’il est encore temps !

Pour aller plus loin :

Faites votre demande de demande devis en ligne de Cyber Assurance by Expert Line by SIACI : cliquez ici

⏰ Tribune 5
Cyber attaques – Pourquoi il faut s’assurer contre les risques cyber
D’après la BPI « En seulement un an, elles ont augmenté de 255 % selon l’ANSSI, passant de 54 attaques rapportées en 2019 à 192 attaques en 2020.
Viennent ensuite les piratages informatiques avec 16 % de recherches d’assistance, puis les piratages de comptes (11 %) ».

SOC ou pas SOC … là est la question…

Je ne suis qu’un modeste juriste à qui l’on reconnait gentiment des compétences en matière de sécurité informatique, donc que les lecteurs avertis me pardonnent quelques raccourcis …

SOC ou pas SOC est une bonne question… et même une question assez « tendance ».
S’agit-il d’une offre purement marketing ou d’une offre à laquelle il faut prêter attention ?

La première question est

« Qu’est-ce qu’un SOC » ?

Un SOC (acronyme de Security Operations system) est un « service ».

Ce service peut être interne ou externe. Il peut porter sur tout ou partie du SI notamment sur des parties critiques.

Ce service est dédié à la sécurité et son objectif est triple D.R.A.: Détection – Remédiation – Analyse.

Certains diraient que l’analyse a lieu après la détection et avant la remédiation mais en réalité la plus-value du SOC est la remédiation immédiate (prise de risque minimum) et l’analyse – post problème – pour procéder le cas échéant à des ajustements (on appelle aussi REX).

Le SOC est aussi une « combinaison » : la rencontre entre la technique et l’humain. Entre des outils dont le fameux SIEM (Security event information management) mais aussi des experts qui savent décrypter les alertes et prendre les bonnes décisions la plupart du temps urgentes et pour lesquelles ils ne peuvent pas attendre le « GO » du client.

Quant à opter pour un SOC externe ou interne c’est assez simple elle dépend de la capacité de l’entreprise (ou acteur public) à disposer en interne des compétences nécessaires et surtout à assurer du h24 7/7 et de pouvoir dimensionner les équipes en fonction des menaces.

C’est la raison pour laquelle bon nombre d’entreprises optent pour une externalisation totale ou partielle de leur SOC.

Mais pour le juriste que je suis la bonne question est :

Faut-il mettre en œuvre un SOC ?

Il existe en pratique deux cas : le cas où le SOC est obligatoire et les cas, beaucoup plus nombreux, ou le SOC ne l’est pas.

Quand le SOC sera-t-il obligatoire ?

Quand un régulateur, une autorité de contrôle, une autorité dédiée à la sécurité imposent à tel ou tel acteur la mise en place d’un SOC. On peut penser notamment aux OIV (opérateur d’importance vitale) ou aux prestataires de service de confiance particulièrement les PSCOq.

Mais l’immense majorité les entreprises et les acteurs publics n’ont pas d’obligations ni légale, ni normative, ni même contractuelle de mettre en œuvre un SOC.

De fait dans ce cas la question de la mise en œuvre d’un SOC se pose.

Deux raisons imposent la réflexion : les obligations liées au RGPD d’une part et celles fixées par la jurisprudence dominante dans le domaine de la fraude informatique.

Dans les textes juridiques 

Le RGPD qui touche quasiment tous les acteurs publics ou privés impose la mise en œuvre de mesures techniques et organisationnelles « appropriées » pour protéger (article 24) ou sécuriser (article 32) les données personnelles.

L’article 32 évoque même clairement la mise en œuvre de « moyens permettant de garantir la disponibilité et la résilience » mais aussi des moyens permettant de rétablir la disponibilité ».

A n’en pas douter la mise en œuvre d’un SOC permettra de démontrer que l’entreprise respecte ces engagements.

Ce point est d’importance puisque l’article 83 du RGPD qui fixe les règles que la Cnil doit prendre en compte pour sanctionner une entreprise tient compte notamment de la « durée de la violation » et de la mise en œuvre de mesures appropriées pour atténuer le dommage.

Dans la jurisprudence 

Enfin on rappellera une position assez classique des tribunaux qui considère qu’une entreprise, pour bénéficier pleinement de la protection des dispositions relatives à la fraude informatique doit mettre en œuvre les mesures – là aussi « appropriées » – pour démontrer à la fois l’élément matériel et

⏰ LEGAL OPINION SOC
Existe-il une obligation légale de mettre en place un SOC ?
Fruit d’un long et beau travail d’équipe, expert line est heureux et fière de vous présenter le premier Legal Opinion dédié au SOC ! Une investigation menée avec brio et en toute indépendance par Maître Barbry, du cabinet Racine Avocats ! Une pépite qui vous permet de répondre à toutes vos questions autour du SOC !

Les entreprises ont-elles une obligation légale de sensibiliser leurs salariés au bon usage des outils informatiques ? 

La question mérite d’être posée tant les entreprises rechignent généralement à former leurs collaborateurs.

Dans la mesure où ils disposent tous ou presque d’un smartphone, d’un ordinateur ou d’une connexion internet, « ils doivent bien savoir comment ça marche ».

Mauvaise réponse … l’usage d’un matériel ou d’une connexion personnelle n’a évidemment rien à voir avec un usage professionnel.

En environnement personnel, des secrets de famille mais pas de secret des affaires, en environnement personnel, de jolies photos de son dernier plat préféré, mais pas de patrimoine immatériel de l’entreprise, en environnement personnel, il y a bien collecte de données personnelles, mais le RGPD ne s’applique pas !

En environnement personnel, je perds mon smartphone, je suis très énervé et j’en rachète un sur Backmarket … En environnement professionnel, la sanction peut aller jusqu’à 4% du CA d’une entreprise ou 20M€ … Ça fait cher le smartphone.

L’employeur a-t-il l’obligation légale de former ses collaborateurs ?

Une partie de la réponse se situe à l’article L.6321-1 du Code du travail :

“L’employeur assure l’adaptation des salariés à leur poste de travail. Il veille au maintien de leur capacité à occuper un emploi, au regard notamment de l’évolution des emplois, des technologies et des organisations.”

Il peut proposer des formations qui participent au développement des compétences, y compris numériques, ainsi qu’à la lutte contre l’illettrisme, notamment des actions d’évaluation et de formation permettant l’accès au socle de connaissances et de compétences défini par décret.

Les actions de formation mises en œuvre à ces fins sont prévues, le cas échéant, par le plan de développement des compétences mentionné au 1° de l’article L. 6312-1. Elles peuvent permettre d’obtenir une partie identifiée de certification professionnelle, classée au sein du répertoire national des certifications professionnelles et visant à l’acquisition d’un bloc de compétences ».

On voit bien ce qu’il y a derrière ce texte : imposer à l’employeur une montée en compétence de ses salariés. On est donc loin d’une formation stricto sensu à l’usage des outils numériques et à la sécurité des systèmes d’information. Mais l’on ne peut ignorer ce que dit le Code : « veille au maintien de leur capacité à occuper un emploi, au regard notamment de l’évolution des emplois, des technologies et des organisations ».

On peut donc penser que former les collaborateurs à l’usage des outils numériques, les former aux spécificités du télétravail ou encore leur apprendre les règles d’hygiène de base de la sécurité informatique de l’Anssi sont des obligations pour l’employeur.

Au cas particulier du télétravail, on rappellera les termes de l’article 3.1.6 de l’Accord national interprofessionnel du 26 novembre 2020 pour une mise en œuvre réussie du télétravail qui précise :

«  (…)  en outre, une formation appropriée, ciblée sur les équipements techniques à leur disposition et sur les caractéristiques de cette forme d’organisation du travail. Les responsables hiérarchiques et les collègues directs des salariés en télétravail doivent également pouvoir bénéficier d’une formation à cette forme de travail et à sa gestion. »

Sur le droit des données personnelles, même si le RGPD ne traite pas – et c’est bien dommage – de la formation des salariés de l’entreprise, on ne peut ignorer l’article 24 qui dispose que :

« Compte tenu de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement. Ces mesures sont réexaminées et actualisées si nécessaire ».

Le responsable de traitement (c’est-à-dire l’entreprise) doit « mettre en œuvre les mesures organisationnelles appropriées » …

A n’en pas douter, la formation et la sensibilisation des salariés constituent une « mesure appropriée » au sens du RGPD.

Mais au-delà même d’une éventuelle obligation légale directe (Code du travail ou ANI) ou indirecte (RGPD), on ne peut que conseiller à une entreprise ou un acteur public de s’engager dans la voie d’une formation de ses collaborateurs à l’usage des outils numériques, aux mesures de sécurité et au droit des données personnelles et ce pour deux raisons : la prévention / la réaction.

La prévention d’abord. Former et sensibiliser ses collaborateurs apparaît comme un bon moyen de limiter les risques de fraudes. Il y a bien moins de fraudes au président, d’escroqueries au RIB ou encore de rançonwares dans les entreprises où le personnel a été sensibilisé.

La réaction ensuite. Difficile de reprocher et encore moins de sanctionner un salarié de l’entreprise pour ne pas avoir respecté tel ou tel type de règle s’il n’a pas été informé de cette règle. Certes aujourd’hui toutes les entreprises dignes de ce nom disposent d’une charte des systèmes d’information et de plus en plus d’un code de conduite en matière de données personnelles. Mais la rédaction de documents de référence s’avère souvent insuffisante et nombreux sont les cas, devant les Prud’hommes, où le collaborateur accusé de tel ou tel comportement fautif, reproche à son employeur un défaut de formation pratique.

Pour toutes ces bonnes raisons, la mise en œuvre de plan de formation apparaît nécessaire.

D’ailleurs dans le rapport d’information parlementaire : La cybersécurité des entreprises Prévenir et guérir : quels remèdes contre les cyber virus ?

On notera une proposition n°9 :
« Prévoir que les salariés doivent se voir proposer une formation professionnelle au numérique et à la cybersécurité. »

Là commence un autre chemin : le « Comment ».

Il faut déjà, me semble-t-il, faire la différence entre la « sensibilisation » qui peut être délivrée à tous les collaborateurs et la « formation » plus poussée qui ne peut viser que certains d’entre eux comme les administrateurs ou les développeurs.

Ensuite il faudra trouver les bons créneaux de formation en privilégiant des outils « user friendly » aux bonnes vielles conférences à la Papa… 😉

Eric Barbry

Avocat associé chez Racine Avocats
En charge de l’équipe IP IT & Data
https://www.racine.eu/