Actualités

Protection des données personnelles : bénéfices du RGPD pour les PME

La protection des données personnelles dans le cadre du RGPD n’est pas qu’une contrainte. En fait, les bénéfices de la démarche peuvent être importants pour l’entreprise. De plus, il n’est pas très compliqué ni très onéreux de se mettre en conformité dans la plupart des cas. C’est non seulement facile, mais également très utile, si l’on procède correctement et si l’on joue le jeu de la transparence. Les petites et moyennes entreprises auraient donc tort de se priver des nombreux avantages à en tirer.

Protection des données personnelles : facile et utile

Une obligation légale et une opportunité pour toutes les entreprises

Rappelons brièvement de quoi il s’agit. Une donnée personnelle est une donnée permettant d’identifier une personne physique. Toutes les entreprises en traitent forcément (données des clients, des employés, etc…). Les TPE et PME sont donc bien concernées par le RGPD, même si la quantité de données personnelles qu’elles traitent est moindre. Nous vous invitons à lire notre article précédent : “RGDP : les PME en retard dans leur démarche de mise en conformité”.

Se mettre en conformité vis-à-vis du nouveau règlement implique également de se poser de bonnes questions. Quelles sont les données traitées ? Comment le sont-elles, par qui, et dans quel but ? Qu’elles soient personnelles ou non, bien gérer ses données, c’est gagner en efficacité. Bien valoriser ses données, c’est développer son activité. En ce sens, le RGPD est donc une opportunité économique.

Mieux gérer les données, mieux gérer l’entreprise

Le RGPD impose premièrement de faire l’inventaire et le tri de ses données personnelles. Il faut vérifier qu’on respecte bien les règles de collecte de données. Ensuite, il faut appliquer le principe de base du nouveau règlement, celui de la minimisation des données. On ne collecte que les données dont on a besoin, ce qui minimise les risques. Puis, il faut maintenir ses données à jour en permanence et en assurer la sécurité. On comprend bien que ces mesures vont dans le sens des intérêts de l’entreprise. En effet, maîtriser l’augmentation du volume des données et en assurer une meilleure gestion présente des avantages importants. Cela permet de réduire les coûts, d’optimiser les processus et de gagner en efficacité dans l’utilisation des données au quotidien.
Autre bénéfice plus large : réfléchir à la pertinence de l’usage que l’on fait des données oblige à réfléchir à son activité, ses objectifs, sa stratégie.

Améliorer l’efficacité commerciale et la relation client, développer l’activité

Tout entrepreneur sait que la confiance est à la base de toute relation commerciale. Une entreprise qui inspire confiance est capable de recruter de nouveaux clients, de gagner de nouveaux marchés, de fidéliser sa clientèle existante. Le RGPD est une opportunité de bâtir ou de renforcer ce capital confiance indispensable. En effet, en respectant les droits des personnes, dans le cadre du RGPD, l’entreprise fait preuve de sérieux et de transparence. Cette exemplarité permet de renforcer son image d’entreprise responsable. C’est un gage de confiance vis-à-vis du public, de ses clients, de ses utilisateurs, et de tous ses contacts.
Plus concrètement, l’utilisation de données nettoyées, pertinentes et encore plus personnalisées permet d’améliorer la performance des campagnes marketing, en prospection comme en fidélisation.
Enfin, les sous-traitants qui seront en conformité avec le règlement sur la protection des données personnelles bénéficieront d’un avantage concurrentiel auprès de leurs clients et donneurs d’ordres.

Renforcer la protection des données personnelles et la sécurité informatique

Le RGPD a pour but de renforcer le droit et la protection des personnes physiques quant à la collecte, la détention et l’usage de leurs données personnelles. Ceci intervient dans un contexte où les données sont devenues un enjeux économique majeur. Parallèlement, les attaques informatiques se sont multipliées. De nombreuses entreprises sont prises pour cibles et les conséquences peuvent être désastreuses.
Voir nos articles récents sur les failles de sécurité Meltdown et Spectre et sur le ransomware Wannacry.
Les exigences du règlement en matière de protection des données personnelles vont de pair avec la mise en place de mesures de sécurité sur le système d’informations dans son ensemble. Dans le RGPD, c’est l’évaluation du niveau des risques qui détermine les mesures de protection à adopter. Mettre en place le bon niveau de sécurisation, c’est se rendre moins vulnérable aux attaques et protéger le capital que constituent les données.

Transformation digitale, création de valeur et nouvelles opportunités

Le règlement sur la protection des données personnelles n’est finalement qu’une conséquence juridique ou réglementaire des évolutions technologiques de notre société. L’avènement du commerce en ligne et des services numériques facilement accessibles depuis les smartphones et tablettes multiplient les risques pour les personnes. En effet, les utilisateurs consommateurs confient aux opérateurs de plus en plus de données personnelles en échange d’un plus grand confort d’utilisation, d’une plus grande personnalisation et d’une palette de services plus large. Le RGPD accompagne ce mouvement de fond qui place désormais l’expérience client et l’exploitation des données au cœur de la chaîne de valeur. La démarche de mise en conformité avec le RGPD constitue donc bien une étape vers la transformation digitale. Elle est à la fois nécessaire pour s’adapter aux nouveaux enjeux économiques et porteuse de nouvelles opportunités business.
> Voir notre article sur la transformation digitale des PME

 

Pour toute information sur notre prestation d’accompagnement à la mise en conformité RGPD :
> Contactez-nous

Le guide de sensibilisation au RGPD pour les PME par la CNIL et BPI France :
www.cnil.fr/fr/reglement-europeen-protection-donnees

Le guide des bonnes pratiques de l’informatique 2017 de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’information) :
www.cybermalveillance.gouv.fr/wp-content/uploads/2017/10/guide_cpme_bonnes_pratiques.pdf

RGDP : les PME en retard dans leur démarche de mise en conformité

Le RGPD (Règlement Général sur la Protection des Données Personnelles) entre en vigueur le 28 mai ! Il n’est pas trop tard pour lancer la démarche, mais par où commencer ?

Certes, le règlement prévoit que les TPE/PME soient dispensées de certaines obligations (dans certains certains cas seulement). Mais il s’applique bien à toute entreprise qui collecte, stocke, traite ou utilise des données à caractère personnel, pour son propre compte ou en qualité de sous-traitant. Les entreprises qui ne respecteront pas les principaux points du règlement ou qui n’auront pas au moins entamé la démarche de mise en conformité s’exposent à des sanctions. Le champ d’application est vaste : il peut s’agir des données personnelles des employés, des clients, des prospects, des partenaires, etc… Pour chaque traitement, la mise en conformité implique des mesures sur les plans juridique, organisationnel et technique.

RGPD protection des données personnelles

RGPD : objet, application et sanctions

Le RGPD renforce la loi Informatique et Libertés en vigueur depuis 1978. Elle accroît les droits des citoyens en leur donnant plus de maîtrise sur leurs données. Les formalités actuelles auprès de la CNIL (déclarations, autorisations) disparaissent. En contrepartie, les entreprises qui traitent des données à caractère personnel (pour leur compte ou pour le compte de leurs clients) doivent apporter la preuve qu’elles ont mis en oeuvre toutes les mesures techniques et organisationnelles pour protéger les données, conformément au nouveau règlement. Contrairement aux directives européennes qui ne s’appliquent qu’après transposition nationale, le RGPD, en tant que règlement européen, est d’application immédiate dans l’ensemble des Etats membres à compter du 25 mai 2018. Les amendes administratives peuvent s’élever, selon la catégorie de l’infraction, jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel. L’organisme de contrôle pour la France est la CNIL.

Données personnelles dans le règlement RGPD : définition

Il s’agit de toute information se rapportant à une personne physique identifiée (directement) ou identifiable (indirectement). Par exemple : nom, prénom, numéro de téléphone, adresses postale, email, adresse IP, identifiant, etc… Certaines données sont dites sensibles, comme par exemple l’origine raciale, l’opinion politique, l’appartenance syndicale, les convictions religieuses, les données génétiques, de santé, l’orientation sexuelle. Le principe de base est que leur traitement est interdit sauf pour certaines exceptions comme les raisons médicales d’urgence.
Le RGPD s’applique aux traitements de données sous forme de fichier, en tout ou partie automatisés, mais également aux fichiers qui ne sont pas du tout automatisés, constitués d’un ensemble structuré de données (dossiers clients ou patients par exemple, liste manuscrite de mauvais payeurs…). Les fichiers “papiers” sont donc bien concernés. Enfin, le RGPD s’applique aux données personnelles de tout type de contact : clients, fournisseurs, partenaires, employés…

Quelles sont les entreprises concernées ?

Le RGPD concerne toutes les entreprises qui traitent des données à caractère personnel. Des dispenses existent pour les entreprises de moins de 250 salariés concernant certaines obligations comme la tenue d’un registre des traitements ou la nomination d’un DPO (délégué à la protection des données). Ces dispenses ne sont possibles que dans certains cas et pour les PME, Le RGPD peut représenter une contrainte lourde. La mise en conformité est coûteuse et prend du temps mais elle est vitale. Car au-delà des sanctions financières prévues, les grands comptes exigeront bientôt de leurs sous-traitants qu’ils soient conformes.
Le règlement concerne aussi les sous-traitants : notamment les prestataires de services informatiques (hébergement, maintenance,…), les intégrateurs de logiciels, les agences marketing ou de communication qui traitent des données personnelles pour le compte de clients, etc…

La notion de traitement de données personnelles

Traitement des données personnelles :
Toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.

Responsable du traitement :
La personne physique ou morale, l’autorité publique, le service ou autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement.

Sous-traitant :
La personne physique ou morale, l’autorité publique, le service ou autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.

Les principales obligations du RGPD

Nomination d’un DPO (délégué pour la protection des données), si vous êtes dans le cas de figure où c’est obligatoire. Dans certains cas, ce n’est pas obligatoire. La CNIL recommande néanmoins de désigner un pilote. Son rôle consistera à centraliser les informations relatives aux traitements de données à caractère personnel et organisera les actions à mener afin de respecter les obligations applicables. En pratique, il est difficile de se passer d’un chef de projet (interne ou externe) afin de mener le plan de conformité.
Tenue du registre des traitements des données personnelles, si vous êtes dans le cas de figure où c’est obligatoire. Dans la pratique, difficile de s’en passer ne serait-ce que pour faire l’inventaire des différents traitements et garantir une conformité continue.

Conformité de chaque traitement de données personnelles

Vous devez respecter les droits des personnes : consentement, information, accès, rectification, effacement, limitation, notification, portabilité.
Le traitement doit être légitime et licite.
Vous devez minimiser les données en limitant la collecte aux seules données strictement nécessaires au traitement.
Il faut assurer la sécurité des données dans leur intégrité et au niveau de leur confidentialité : prendre les mesures organisationnelles et techniques pour éviter la destruction, la perte, l’altération ou la divulgation non autorisée des données (voir le guide de la CNIL).
Certains traitements de données personnelles peuvent engendrer un risque élevé pour les droits et libertés des personnes. Ils doivent faire l’objet d’une analyse d’impact (PIA : privacy impact assessment).

Gestion des responsabilités

Le responsable du traitement est responsable de la conformité et devra être capable de le démontrer. Il doit donc organiser et documenter la mise en conformité et le maintien de la conformité.
La co-responsabilité du sous-traitant doit être claire. Echanger des données personnelles entre deux sociétés exige désormais d’évoquer les engagements réciproques de chacun.
Mise en conformité de tous les contrats (clients, sous-traitants, CGU, CGV, mentions pour la collecte des données, contrats de travail, etc…).
Il est nécessaire de mettre en place une procédure en cas de violation. L’entreprise a pour obligation de notifier l’autorité de contrôle (CNIL) en cas de violation de sécurité ou de violation des données. L’entreprise devra également, dans certains cas, communiquer aux personnes concernées par la violation.

La démarche de mise en conformité

Les étapes :

Formulaire RGPD : mon entreprise est-elle concernée ?
Audit initial : analyse rapide d’exposition de l’entreprise au RGPD. On peut éventuellement réaliser cet audit à distance.
Nomination d’un DPO (délégué à la protection des données) ou à défaut d’un pilote.
Etat des lieux RGPD : à partir d’une cartographie des traitements, quantifier le travail à accomplir pour être en conformité avec les exigences du RGPD. Etablissement d’un plan d’action quantifié, hiérarchisé.
Mise en conformité : sur le plan contractuel et juridique, des mesures techniques et organisationnelles, des actions vis-à-vis des clients (notamment si l’entreprise est sous-traitante), actions vis-à-vis des sous-traitants et partenaires.
Mise en place de la gouvernance : rôles, procédures, documentation. Il faut démontrer à l’Autorité de Contrôle (CNIL) que les actions sont lancées et suivies.

Nous vous accompagnons dans votre démarche RGPD

La sécurisation informatique des données est une des principales exigences du règlement. Aussi, nous sommes en mesure de vous accompagner dans votre démarche de mise en conformité. En effet nous proposons une prestation spécifique. Si vous le souhaitez, nous pouvons vous faire parvenir un questionnaire. Ceci nous permettra de faire un premier état des lieux et de programmer un premier échange à distance rapidement.

> Contactez-nous

Liens

Le règlement RGPD :
www.cnil.fr/fr/reglement-europeen-protection-donnees

Le guide CNIL 2017 de la sécurité informatique :
www.cnil.fr/sites/default/files/atoms/files/cnil_guide_securite_personnelle.pdf

Transformation digitale indispensable pour les PME

Transformation digitale ou bien transition numérique, ou encore digitalisation, on entend ces mots partout. On les associe à l’économie, à l’entreprise, à la stratégie, et même aux services publics. Les nouvelles technologies ont envahi notre quotidien ces quinze dernières années. Avec leurs outils connectés toujours plus puissants, elles modifient profondément nos modes de vie et notre façon de consommer. A l’instar de la révolution industrielle au 19e siècle, on assiste à un bouleversement de l’économie. Ceci impacte évidemment les entreprises très fortement. Aucun secteur n’y échappe et le phénomène va encore s’accélérer dans les prochaines années.

La transformation digitale, un sujet flou pour les PME

transformation digitale et travail collaboratifCe qu’on peut lire sur cette transformation numérique a de quoi inquiéter. En effet, il y a beaucoup de rapports, d’études et de sondages sur le sujet. Ils nous disent par exemple que jusqu’à 80% des métiers de dans 10-15 ans n’existent pas encore. On apprend aussi que les mutations technologiques menacent un nombre important d’emplois. Et ceux qui resteront s’en trouveront largement modifiés. D’autres bien entendu seront créés, à plus forte valeur ajoutée.

Heureusement, la révolution en cours apporte également son lot d’opportunités. Mais d’abord à ceux qui savent les saisir. Un véritable challenge pour les dirigeants de PME !

Pourtant, la plupart d’entre eux n’en font pas une priorité. Ils ne visualisent pas ce que serait la transformation digitale dans leur entreprise. Ils n’ont pas de projet précis en ce sens et pensent que cela ne les concerne pas immédiatement.

A leur décharge, ce sujet complexe peut paraître inaccessible. D’autant qu’il y a profusion d’informations, mais pas beaucoup d’éléments concrets. Le jargonnage et le mélange des sujets est systématique (UX, big data, objets connectés, ubérisation, intelligence artificielle, blockchain…).

Pas évident pour les patrons de PME, notamment celles des secteurs traditionnels, d’y voir clair et de savoir quoi faire !

L’expérience client conduit la transformation digitale

Certes la transformation digitale s’appuie sur des nouvelles technologies, mais elle ne se limite pas à ça. Ce n’est pas simplement passer à l’utilisation d’outils numériques. Ce n’est pas non plus seulement se mettre à vendre ses produits ou services sur internet. C’est bien plus large que ça. C’est un processus complet d’adaptation à un nouvel environnement, en évolution rapide. Et dans l’entreprise, il faut s’adapter sur toute la chaîne. On doit mettre l’expérience client au premier plan. De plus, il est nécessaire de faire évoluer son organisation et de repenser ses partenariats.

L’avènement du commerce en ligne a brutalement élevé le niveau d’exigence client. L’utilisation massive des téléphones portables intelligents accentue encore le phénomène. Il y a désormais de nouvelles références en matière de qualité de service, de réactivité et de personnalisation. Et ces nouvelles exigences des consommateurs B2C s’imposent maintenant en B2B. Mais pour satisfaire son client, encore faut-il connaître ses attentes. La collecte et l’analyse des informations client sont devenues primordiales.

Toutes les entreprises ne sont pas concernées de la même manière

stratégie de transformation digitaleIl convient d’évaluer la situation de son entreprise par rapport à son secteur d’activité, à la concurrence. La transformation digitale peut remettre en cause son business model et faire apparaître des opportunités supplémentaires de création de valeur.

Pour les entreprises qui pourraient être en retard sur le plan de l’utilisation des outils digitaux, il faut y aller progressivement. Laisser son personnel expérimenter de nouveaux modes de travail et outils collaboratifs peut être un premier pas. D’autant qu’ils peuvent apporter de véritables gains de productivité.

La transformation digitale impose de repenser ses méthodes de travail. Les nouvelles pratiques entraînent le décloisonnement des activités. On favorise la transversalité, la coopération, c’est la fin du travail en silo. On doit expérimenter sans cesse pour coller aux besoins du client. Seule une organisation agile est capable de fonctionner ainsi.

Les principaux freins à cette transformation sont la non adoption des nouvelles technologies et l’incompréhension des enjeux. Un autre frein constaté est la question budgétaire, bien que mal évaluée. En effet, les dirigeants pensent souvent que le ticket d’entrée est trop élevé. On peut pourtant procéder à des optimisations à moindre frais.

Leadership pour la direction, marges de manoeuvre pour les collaborateurs

La réussite de la transformation digitale vient souvent de l’impulsion donnée par la direction. Et cela s’appuie sur une stratégie formalisée et budgétée, avec mesure prévue du retour sur investissement. Cette stratégie doit intégrer une politique RH (formation et recrutement). Le management doit être impliqué également (leadership identifié, promotion de l’initiative et du travail collaboratif).

On commence par faire un diagnostic des opportunités pour l’entreprise. Puis on fait évoluer les process et outils de travail et on en mesure les résultats en termes de satisfaction client et de ses équipes en interne. Le changement s’opère sur le plan organisationnel. La direction doit accepter de laisser les collaborateurs mener des tests et prendre des décisions pour plus de réactivité.

schéma de transformation digitaleNous vous recommandons de lire l’étude de BPI France sur les dirigeants des PME et PMI face au digital. Vous trouverez des explications claires, ainsi que des clés pour amorcer un processus permettant d’intégrer le digital dans l’entreprise. Cette étude intègre un test pour évaluer le niveau de culture digitale des entreprises. Trois classements possibles : sceptique, apprenti, conquérant. Elle intègre également une matrice. Les trois chantiers sont présents (client, organisation, partenaires), de l’existant (pour les entreprises qui n’ont rien amorcé) à la cible, l’objectif.

La transformation digitale doit pouvoir s’appuyer sur des technologies et des systèmes informatiques solides et bien gérés. Ostin vous accompagne dans vos projets et met toute son expertise à votre service avec des offres adaptées aux PME.

Découvrez nos offres d’infogérance

> Contactez-nous

 

 

Failles de sécurité Meltdown et Spectre : ce qu’il faut savoir et comment se protéger

On apprenait récemment l’existence des failles de sécurité Meltdown et Spectre. Les annonces de menaces sur les systèmes informatiques se multiplient et les attaques prolifèrent. Il convient de se demander si l’on dispose d’une bonne protection !

Failles de sécurité : des vulnérabilités, pas des menaces

Failles de sécurité Meltdown et Spectre

Meltdown et Spectre ne sont pas des virus ni des menaces à proprement parler. Ce sont des failles de sécurité, c’est-à-dire des faiblesses de conception. Et elles concernent la plupart des modèles de processeurs du marché, ceux des principaux fabricants en tête (Intel, AMD…). Les processeurs sont des composants équipant ordinateurs, serveurs et appareils mobiles. La menace est là, car ces failles sont liées au fonctionnement même des processeurs. Les cybercriminels pourraient les exploiter pour lire des informations censées être protégées. Sur nos équipements, il s’agit par exemple des identifiants et mots de passe. Les systèmes d’exploitation sont ainsi vulnérables !

Mon entreprise est-elle concernée par les failles de sécurité ? Que faut-il faire ?

Failles liées au fonctionnement même des processeurs

La grande majorité des processeurs étant concernés, vous devez absolument prendre cette menace sur la sécurité informatique au sérieux. Il faut appliquer les mesures qui s’imposent pour limiter la vulnérabilité de votre entreprise.
Les principaux éditeurs et constructeurs (Microsoft, Apple, Google…) ont rapidement réagi en mettant à disposition les correctifs sur leurs sites internet.
Pour parer au plus pressé, il est indispensable d’effectuer les mises à jour et d’appliquer les patchs nécessaires sur toutes vos machines, systèmes d’exploitation (Windows, IOS, Android, Linux), logiciels et applications (par exemple navigateurs et antivirus). Ceci concerne également vos serveurs, qu’ils soient dans vos locaux ou bien externalisés (hébergés dans le Cloud).

Prise de conscience : maitriser son informatique est indispensable !

Cet épisode est sans aucun doute l’occasion, si vous ne l’avez pas déjà fait, de vous poser les bonnes questions en ce qui concerne votre système informatique : mon informatique est-elle vulnérable, ai-je une politique de sécurité ? Une bonne maintenance et une bonne surveillance de mes systèmes ? Un réseau bien configuré ? Des droits d’accès bien gérés ? Ai-je une stratégie de stockage, de sauvegarde et de back-up pour mes données en cas d’incident ?
Une défaillance du système informatique provoquant une rupture d’activité ou une perte de données, en fonction de leur importance, peut avoir des conséquences fâcheuses : perte de chiffre d’affaires, insatisfaction client, fragilisation de l’entreprise…
On sous-estime souvent ces risques. Pourtant, quand on les évalue précisément, on prend conscience de la nécessité de donner à son informatique l’importance, et donc la valeur, qu’elle a réellement !

Le géant Intel est secoué

Les processeurs Intel concernés par les failles de sécurité pour la troisième

Nous l’avons vu plus haut, la nouvelle menace concerne à différents niveaux les grands industriels du monde de l’informatique. Les fabricants de processeurs sont en première ligne. Et en particulier Intel, AMD et AMR qui équipent la plupart de nos appareils.
Intel a largement écorné son image. De plus, le géant américain gère maladroitement la crise. D’une part il aurait prévenu en amont d’autres géants du secteur comme Microsoft ou le chinois Alibaba, et d’autre part il recommande de ne plus installer ses propres patchs car ceux-ci occasionneraient de trop nombreux redémarrages et diminueraient les performances des ordinateurs, jusqu’à 30% !

Google se lance dans la cyber-protection

De son coté, Google peut se targuer d’avoir activement participé à la découverte de ces failles de sécurité, grâce aux équipes de son Projet Zéro. Sa maison-mère, Alphabet, vient d’ailleurs d’annoncer la création d’une filiale consacrée à la cyber-protection des entreprises. Cette nouvelle entité, baptisée Chronicle, proposera via une plateforme un service en ligne d’analyse de virus.

Chacun son métier

Pour conclure, nous vous conseillons vivement de faire appel à des professionnels de la sécurité informatique. C’est une problématique de plus en plus complexe. Les incidents se sont multipliés ces derniers mois. Rappelez-vous Wannacry. Et rappelons-nous notamment les récents piratages de comptes utilisateurs chez Yahoo et Uber. Contactez-nous ! Nous vous invitons par ailleurs à consulter régulièrement le site de l’ANSSI, l’Agence Nationale de la Sécurité des Systèmes d’Information.

Un ransomware (rançongiciel) qui a fait trembler le monde

Depuis le vendredi 12 mai, le ransomware Wannacry (« tu veux pleurer ») aurait infecté plus de 200.000 ordinateurs selon Europol. Cette escroquerie serait le fruit d’opportunistes ayant recyclé un logiciel espion développé par la NSA pour profiter d’une faille de Microsoft Windows.

Ce ransomware propage un ver informatique (worm) via un ordinateur sur les réseaux d’une entreprise via un ordinateur. Le logiciel malveillant crypte les données du réseau de l’entreprise infectée. Les cyber-criminels peuvent alors réclamer une rançon contre la clé de décryptage.

Comment la propagation d’un ransomware est-elle possible ?

La faille exploitée par WannaCry concerne essentiellement de vieilles versions du système d’exploitation Windows (ex : Windows XP…) et des versions non mises à jour. L’éditeur, à titre exceptionnel, a mis à disposition un correctif pour ses systèmes obsolètes. Téléchargeable ici

Cependant dans les entreprises et administrations, les utilisateurs ne peuvent pas faire eux-mêmes les mises à jour. Seuls les administrateurs le peuvent.

Peut-on se protéger contre un ransomware ? 

La mise à jour de votre système d’exploitation, c’est comme se brosser les dents tous les jours, c’est une bonne habitude à avoir. Si vous ne pouvez le faire vous mêmes assurez-vous que votre service ou responsable informatique le fasse.

Si le code malveillant est découvert sur vos systèmes, le CERT-FR recommande de déconnecter immédiatement du réseau les machines identifiées comme compromises. L’objectif est de bloquer la poursuite du chiffrement et la destruction des documents partagés.

De manière préventive il n’est pas possible de mettre à jour un serveur. Mais sachez que l’équipe d’Ostin vérifie tous les serveurs de ses clients et leur envoie des rappels réguliers des règles de sécurité.

Recommandations de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information)

Pour prévenir les risques

  • Effectuez des sauvegardes fréquentes . Ainsi, en cas de chiffrement du disque dur, une restauration des données sera possible.
  • N’ouvrez pas les courriels dont vous n’êtes pas certain de l’expéditeur. Vérifiez l’adresse d’envoi. Méfiez-vous des courriels imitant les adresses de correspondants que vous connaissez. Les attaquants peuvent avoir identifié leurs noms (organigramme d’une entreprise par exemple) pour vous induire en erreur. En cas de doute n’ouvrez pas les pièces jointes.
  • Évitez l’ouverture de pièces jointes de type SCR ou CAB (extensions de compression actuellement utilisées dans la campagne CTB-LOCKER).
  • N’ouvrez pas vos courriels, et ne naviguez pas depuis un compte ayant des autorisations « Administrateur ».
  • Créez un compte « Utilisateur ».
  • Utilisez un antivirus et mettez régulièrement à jour sa base de signatures. De même, effectuez toutes les mises à jour logicielles et système.

En cas d’incident

  • Déconnectez immédiatement votre poste de l’Internet (arrêt du WiFi, câble Ethernet débranché).
  • Ne payez pas la rançon. Le paiement ne garantit en rien le déchiffrement de vos données et peut compromettre le moyen de paiement utilisé (notamment carte bancaire).
  • Effectuez ou faites effectuer une restauration de votre ordinateur. Il faut reformater le poste et réinstaller un système sain puis restaurer les copies de sauvegarde des fichiers perdus, lorsqu’elles sont disponibles.
  • Portez plainte au commissariat de votre domicile.

 

En résumé :

  1. Ne pas ouvrir les mails, ni leurs pièces attachées ou leurs liens, lorsqu’ils ne proviennent pas d’une source connue. Et même là, s’interroger sur leur origine (le contenu est-il attendu ? est-ce un mail rédigé comme d’habitude ?)
  2. Avoir un bon antivirus à jour
  3. Avoir en permanence une sauvegarde de 7 jours en place et vérifiée

 

Il est indispensable de pouvoir revenir à une situation antérieure, même si cela doit prendre 75h00.

Actualité Century 21 RDRG

logo_century21-headerDans un but de croissance et d’intégration de nouveaux collaborateurs, l’un de nos clients doit adapter son réseau et ses ressources informatiques à ses ambitions.

Chargé de l’infogérance de celui-ci, Ostin pilote donc cette mutation.

Celle-ci passe par une refonte complète de réseau filaire, achat de matériel en hardware (postes informatiques + switch), en software (intégration d’un progiciel webifié)  et d’une augmentation conséquente du débit.

Ostin établi un cahier des charges ainsi qu’un planning d’intervention.

Première étape, redessiner le réseau filaire, puis faire effectuer des devis pour la réfection de celui-ci.

L’étape suivante, consiste à lancer un appel d’offre visant à trouver un fournisseur offrant un débit suffisant pour l’utilisation du futur progiciel wébifié ainsi qu’un passage à la téléphonie VOIP, le tout au meilleur prix.

Une fois la solution et le fournisseur identifiés, Ostin se charge de la mise en place avec celui-ci.

Dernière étape : définition des besoins du client en termes de matériel, demande de devis correspondant. Une fois le choix défini, achat et livraison du matériel dans les locaux d’Ostin pour configuration et installation de l’ensemble des logiciels utiles à son client sur l’ensemble des postes Pour finir, intervention des techniciens d’Ostin chez leur client pour l’installation finale ecartes.xyz bahamas carte interactive