Compte rendu de notre onzième édition du LeaderIA Network & Business Club. Restitution de l’intervention de Monsieur Rémy FEVRIER. Maitre de conférences au CNAM et ancien lieutenant-colonel de Gendarmerie.
Comment protéger ses données personnelles et financières numériques ? Comment sensibiliser les membres de son entreprise ?
Voici les réponses rapportées de la conférencier de Rémy Février du 13 Février 2014 au Café Fauchon.
Réalité des risques numériques pour protéger ses données
- La E-réputation : Déstabilisation d’entreprise
Histoire vraie : le lait pour nourrisson Nestlé a du faire face à un problème, trois commentaires sur le forum du site « Au féminin.com » émanant de jeunes mamans, affirmaient que ce lait provoquait des rougeurs. En moins de 3 mois, l’entreprise a vu ses ventes chutées de 20%.
De plus en plus de jeunes, après avoir fait une bonne école, se font détruire car il reste sur Internet des images de soirées dans des situations équivoques.
- E-réputation des dirigeants et réseaux sociaux : pour déstabiliser une entreprise, il faut déstabiliser son dirigeant. Ex : Une ex-épouse qui déblatère sur internet sa vie privée.
- Portail internet : la voie royal d’accès aux entreprises. Il faut sécuriser l’intégralité des sous répertoires.
Une évolution inquiétante de la cybercriminalité : protéger ses données à tous prix
- Les nouveaux profils de pirates : l’inconscient, le délinquant volontaire, l’activiste et le concurrent.
Histoire vraie : Le compte Twitter du Président des Etats-Unis a été hacké par un jeune français de 14 ans. Il a trouvé son mot de passe ; il s’agissait du nom de son chien avec la date de naissance.
- Les occasions les plus courantes : Le lancement d’un nouveau produit, la phase de pré prototypage, les nouvelles implantations, les FUSAC et les OPA, les déplacements.
Histoire vraie : On entre dans la salle de réunion, on va droit vers le « paper-board », on tourne quelques pages, dans 100% des cas, il y a des informations confidentielles sur l’entreprise.
Exemples réels d’atteintes aux données d’une PME :
Vol de données via le photocopieur
Histoire vraie : Dans une entreprise de 250 personnes, un technicien de maintenance avec sa fiche d’intervention vient vérifier le photocopieur. Un photocopieur possède un disque dur. Le technicien a échangé les disques durs. L’entreprise était en phase de pré-prototypage. Quelques mois après, le même produit est sorti chez un concurrent à un prix 50% moins cher. 2 ans plus tard l’entreprise a mis la clé sous la porte.
Vol de données lors de déplacements
Histoire vraie : Dans le train, la personne assise à coté voit tout ce que l’on fait sur son ordinateur. Il ne faut jamais travailler sur un dossier confidentiel en public.
Protéger ses données sur disque dur
Histoire vraie : Une entreprise faisant de la récupération d’ordinateur, récupère un conteneur rempli de disques durs. Une entreprise chinoise a racheté le conteneur, afin d’obtenir des informations confidentielles dans l’un des disques durs.
Les réseaux sans fils : des sites Internet permettent de pirater les réseaux.
3 cryptages Wifi : – Clé Web, WPA et WPA 2 (la plus sécurisé).
Histoire vraie : Un homme accusé à tort de pédophilie après s’être fait hacké sa clé web.
Responsabilité civile et pénale des dirigeants :
95 % du droit est d’origine jurisprudentielle.
Aujourd’hui les dirigeants, en cas de pénétration des systèmes d’informations et de vols de données à caractère personnel sont responsables. Dorénavant, on ne s’intéresse plus seulement aux personnes qui ont commis l’infraction mais aussi à celles qui auraient pu l’empêcher.
Si le dirigeant ne prend les précautions nécessaires, il peut être aussi condamné.
Les précautions : Conserver son ordinateur avec soi et crypter les données. Assurer une visibilité intégrale du système d’information. Elaborer et mettre à jour les documents de références. Mener un audit SSI global. Nommer un correspondant informatique et liberté (CNIL). Suivre et contrôler les sauvegardes hors sites. Mener une veille technologique et règlementaire. Rédiger une charte d’utilisation des données Informatiques. Etablir des causes spécifiques dans les contrats de travail.