Cybersécurité et RGPD : protégez votre PME: Guide pratique pour sécuriser votre système informatique et vous conformer au RGPD

Par Alain Ejzyn, Thierry Van den Berghe et Pierre-Frédéric Nyst

40 mesures concrètes pour assurer la sécurité de votre système et gagner en sérénité.

La gestion de la sécurité de l’information constitue désormais une nécessité pour toute entreprise, y compris les PME. Tout d’abord, l’automatisation croissante des affaires et l’augmentation de la cybercriminalité en font un enjeu majeur dans nos économies digitales.
Ensuite, les entreprises sont soumises à toujours davantage de régulation, comme, depuis peu, le Règlement général sur la protection des données (RGPD).
L’objectif de ce livre est de détailler les connaissances et les recommandations essentielles pour garantir la sécurité de l’information dans une PME. Il permet à des acteurs non informaticiens de comprendre la problématique et ses enjeux, et de mettre en oeuvre des actions concrètes afin d’assurer la sécurité de leurs systèmes.
Son contenu inclut :
• une présentation pratique du RGPD. Les enjeux et les implications de ce nouveau règlement sont exposés dans un langage clair et concis ;
• 40 mesures pour assurer une bonne hygiène de sécurité informatique. Ces mesures sont regroupées par thème et mises en contexte ;
• une méthode adaptée à la PME pour mener à bien un projet de sécurité. Cette méthode s’inspire des standards reconnus en la matière, tels EBIOS et ISO 27000.
Ce guide pratique s’adresse d’abord aux dirigeants de PME, mais aussi à tous les acteurs de la sécurité de l’information, qu’ils soient responsables de la sécurité, futurs délégués à la protection des données ou utilisateurs.

Découvrez ce nouveau guide pratique sur la protection numérique de votre PME. Pour les dirigeants de PME ainsi qu'à tous les acteurs de la sécurité de l'information.

EXTRAIT

« L’erreur est humaine », entend-on souvent. Cet adage s’applique particulièrement bien à la sécurité de l’information. Les utilisateurs sont amenés à manipuler des systèmes complexes, changeants, et pas toujours ergonomiques. Ils doivent faire face aux attaques de pirates très créatifs pour piéger ceux dont les TIC ne sont pas le métier.
On comprend alors qu’un nombre significatif de problèmes de sécurité trouvent leur origine dans un comportement inapproprié des utilisateurs. Voici quelques exemples de situations problématiques récurrentes :
• un employé non averti ouvre la pièce jointe d’un e-mail non vérifié et provoque la propagation d’un rançongiciel (ransomware) qui crypte les données des machines du réseau et les rend inutilisables.


A PROPOS DE L'AUTEUR

Alain Ejzyn est enseignant et chercheur senior en stratégie digitale et en sécurité de l’information à l’ICHEC Brussels Management School. Il est également directeur du diplôme en sécurité des systèmes d’information organisé par l’Université de Namur et l’ICHEC (Infosafe). Depuis plus de 25 ans, il accompagne les entreprises dans leurs processus de transformation digitale ainsi que de sécurisation de leur système d’information, via des missions d’expertise et de conseil.

Thierry Van den Berghe est professeur d’informatique de gestion à l’ICHEC Brussels Management School. Il a enseigné à l’Université catholique de Louvain et à l’Université de Namur. Il est docteur en informatique de gestion et dispense des cours sur la sécurité des bases de données et l’ingénierie des exigences pour les étudiants en gestion et les gestionnaires actifs. Il possède une expérience de 25 ans de consultance en informatique de gestion et en sécurité de l’information.

Pierre-Frédéric Nyst est président de l’UCM.

• Langue: Français
• Éditeur: Anthemis
• Date de sortie: 24 août 2018
• ISBN: 9782807204065

Aperçu du livre

Cybersécurité et RGPD: protégez votre PMECybersécurité et RGPD: protégez votre PME

Cette version numérique de l’ouvrage a été réalisée par Communications s.p.r.l. (Limal) pour le © Anthemis s.a.

Des ressources complémentaires à cet ouvrage sont disponibles en ligne

sur le site www.legis.be.

Jurisquare

La version en ligne de cet ouvrage est disponible sur la bibliothèque digitale ­Jurisquare à l’adresse www.jurisquare.be.

© 2018, Anthemis s.a.

Place Albert I, 9 B-1300 Limal

Tél. 32 (0)10 42 02 90 – info@anthemis.be – www.anthemis.be

Toutes reproductions ou adaptations totales ou partielles de ce livre, par quelque procédé que ce soit et notamment par photocopie, réservées pour tous pays.

Dépôt légal : D/2018/10.622/57

ISBN : 978-2-8072-0406-5

Mise en page : Communications s.p.r.l.

ePub : Communications s.p.r.l.

Couverture : Bruno Kattus

Table des matières

Préface

Avant-propos

1 Introduction à la sécurité de l’information

1.1 Que recouvre la sécurité de l’information ?

1.2 Qu’est-ce qu’un système d’information sécurisé ?

1.3 Quelles sont les menaces qui pèsent sur la sécurité de l’information ?

1.4 Quel cadre juridique pour la sécurité ?

1.5 Comment sécuriser l’information ?

1.6 Qu’est-ce que la gestion de la sécurité de l’information ?

1.7 Qu’est-ce qu’un projet de sécurité ?

1.8 Conclusion

2 Le Règlement général sur la protection des données (RGPD)

2.1 Qu’est-ce qu’une donnée à caractère personnel ?

2.2 Qu’est-ce qu’un traitement ?

2.3 Les grands principes du RGPD

2.4 Les changements organisationnels induits par le RGPD

2.4.1 Le consentement

2.4.2 Droit d’accès, de rectification et d’oubli

2.4.3 Le transfert de données vers l’étranger

2.4.4 La notification des problèmes

2.4.5 La nomination d’un délégué à la protection des données

2.4.6 Le registre des traitements

2.4.7 L’analyse d’impact

2.5 Les étapes clés pour se mettre en conformité avec le RGPD

2.5.1 Désigner un responsable du projet

2.5.2 Réaliser un inventaire des données et des traitements

2.5.3 Mener les premières actions

2.5.4 Gérer les risques

2.5.5 Intégrer pleinement la protection des données dans l’entreprise

2.5.6 Documenter la conformité

2.6 Conclusion

3 Les ressources humaines et la sécurité

3.1 Les enjeux

3.2 Quelques exemples de problèmes spécifiques

3.3 Les mesures à mettre en œuvre

3.3.1 Désigner un référent

3.3.2 Impliquer les utilisateurs

3.4 Conclusion

4 Le contrôle d’accès aux données

4.1 Les enjeux

4.2 Quelques éléments techniques

4.3 Quelques exemples de problèmes spécifiques

4.4 Les mesures à mettre en œuvre

4.4.1 Définir les données à protéger

4.4.2 Définir les accès aux données

4.4.3 Contrôler les accès

4.4.4 Se protéger des attaques

4.4.5 Auditer les accès

4.5 Conclusion

5 La protection du poste de travail

5.1 Les enjeux

5.2 Quelques exemples de problèmes spécifiques

5.3 Les mesures à mettre en œuvre

5.4 Conclusion

6 La sécurité des réseaux

6.1 Les enjeux

6.2 Quelques éléments techniques

6.2.1 La technologie des réseaux

6.2.2 Les protections du réseau

6.3 Quelques exemples de problèmes spécifiques

6.4 Les mesures à mettre en œuvre

6.5 Conclusion

7 La sécurité dans le cloud

7.1 Les enjeux

7.2 Quelques éléments techniques

7.3 Quelques exemples de problèmes spécifiques

7.4 Les mesures à mettre en œuvre

7.5 Conclusion

8 La sécurité en situation de mobilité

8.1 Les enjeux

8.2 Quelques exemples de problèmes spécifiques

8.3 Les mesures à mettre en œuvre

8.4 Conclusion

9 La sécurité physique et environnementale

9.1 Les enjeux

9.2 Quelques exemples de problèmes spécifiques

9.3 Les mesures à mettre en œuvre

9.4 Conclusion

10 La gestion des incidents

10.1 Les enjeux

10.2 Les étapes de la gestion d’incidents

10.2.1 Se préparer aux incidents

10.2.2 Détecter un incident

10.2.3 Traiter l’incident

10.2.4 Reprendre les activités

10.2.5 Tirer les enseignements

10.3 Plan de réponse aux incidents

10.4 Les mesures à mettre en œuvre

10.5 Conclusion

11 La gestion d’un projet de sécurité

11.1 Les enjeux

11.2 Gestion de la sécurité

11.2.1 Nature de la gestion de la sécurité de l’information

11.2.2 Étapes clés de la gestion de la sécurité

11.2.3 Référentiels

11.3 Le détail des étapes clés

11.3.1 Stratégie de sécurité

11.3.2 Politique de sécurité

11.3.3 Évaluation des risques

11.3.4 Traitement des risques

11.3.5 Identification des mesures et procédures

11.3.6 Mise en œuvre du plan de sécurité

11.3.7 Sensibilisation et formation

11.3.8 Évaluation de la sécurité

11.3.9 Maintenance de la sécurité

11.4 Conclusion

12 Fiches pratiques

12.1 Comment mener une campagne de sensibilisation à la sécurité ?

12.2 Comment établir un bilan de sa sécurité ?

12.3 Réseaux sociaux et sécurité de l’information

12.4 Comment porter plainte ?

12.5 Comment constituer le registre des traitements pour le RGPD ?

12.6 E-mailing & RGPD

13 Conclusion générale

13.1 La sécurité dans la PME : tableau récapitulatif des mesures

13.2 Pour aller plus loin

Bibliographie

Annexes

Annexe 1 : les menaces génériques selon EBIOS

Annexe 2 : les impacts génériques selon EBIOS

Annexe 3 : les acteurs et les rôles de la sécurité de l’information

Préface

La cybersécurité est indispensable à la sérénité.

En Wallonie, l’Agence du numérique et l’Agence pour l’entreprise et l’innovation ont mené une enquête conjointe sur la sécurité informatique et les PME. L’étude a d’abord livré une bonne nouvelle : pratiquement tous les indépendants et patrons interrogés sont conscients de la nécessité de se protéger.

Mais beaucoup se demandent comment faire ! Deux sur trois tentent de se débrouiller seuls et laissent des failles dans leur protection. Ils ne sont que 70 % à protéger leurs accès WiFi et à peine plus de la moitié (58 %) sauvegardent régulièrement leurs données. Il n’est donc pas surprenant qu’une entreprise sur deux ait connu des problèmes, avec les frais liés à la remise en ordre. Près d’une PME wallonne sur cinq (19 %) a déjà perdu des données à la suite de l’intrusion d’un virus dans son environnement IT.

Il y a donc un énorme travail à accomplir pour fermer les portes des entreprises aux hackers et cybercriminels en tous genres. Ce seul constat justifierait la rédaction de ce guide pratique. Mais à cela s’ajoute le Règlement général sur la protection des données (RGPD), qui renforce considérablement les obligations de transparence et de sécurité. Ignorer cette obligation, c’est courir le risque d’une amende. C’est surtout mettre en péril la réputation de son entreprise et manquer l’opportunité de repenser et réorganiser ses fichiers pour une utilisation optimale.

Les séances d’information sur le RGPD organisées par l’UCM ont rencontré un succès au-delà des prévisions. Cela indique que, comme en matière de cybersécurité, les dirigeants de PME sont conscients du défi à relever, mais ne se sentent pas spontanément armés pour y répondre avec efficacité et sans frais inutiles.

En tant que président de l’UCM, je salue donc la parution de ce guide, dans une maison d’édition connue pour la qualité de ses publications. Cet ouvrage s’adresse bien évidemment à tous les spécialistes de la cybersécurité, car il fait un tour complet de la question. Il dépasse le cadre technique pour aborder des questions juridiques et managériales.

Je suis persuadé que ce livre intéressera également les chefs de PME préoccupés par leur informatique et qui veulent garder la main sur leur sécurité et leur adaptation au nouveau règlement européen. Ils peuvent consulter le chapitre consacré à la question qui les préoccupe et, sans être spécialistes du numérique, comprendre ses enjeux et piocher de bons conseils au travers d’exemples concrets, suivis de l’exposé tout aussi concret des solutions à mettre en œuvre.

Un chef d’entreprise peut adopter deux attitudes face à l’informatique, la sécurité et la protection des données. Soit il fait au mieux, il bricole, il croise les doigts et il vit avec une appréhension permanente, jusqu’au jour où un problème lui saute au visage. Soit il prend le dossier à bras-le-corps, comme il se préoccuperait de l’achat de locaux ou de machines, et il met en place un système sûr et performant, qui peut lui assurer un avantage concurrentiel.

Car c’est bien de cela que nous parlons : la performance de l’entreprise. L’informatique n’est pas un simple service indispensable, comme la fourniture d’eau ou d’énergie. C’est un outil stratégique qui va soutenir le développement de la PME, au même titre que la qualité du personnel ou l’innovation dans le produit et les services.

Au moment où l’intelligence artificielle va ouvrir de nouveaux possibles et bouleverser bon nombre de métiers, il est capital de disposer d’un système informatique solide. Si les entreprises de Wallonie et de Bruxelles ne ratent pas ce nouveau virage économique – certains parlent de révolution industrielle –, notre Belgique francophone peut reprendre sa place parmi les leaders européens en innovation et création de richesses et d’emplois.

La publication de cet ouvrage est une contribution efficace à la sensibilisation des acteurs économiques au défi numérique. Les chefs de PME ont, par la force des choses, le nez dans le guidon et ils ont besoin d’outils pratiques. La question de la cybersécurité peut leur paraître obscure et insécurisante. Un guide rassure ! Il montre le chemin, il apporte des réponses claires et immédiates aux questions qu’il faut se poser.

Heureuse initiative ! Indispensable initiative !

Pierre-Frédéric Nyst, président UCM

Avant-propos

L’informatique et les systèmes d’information sont devenus des composants clés de l’entreprise. Cependant, ces systèmes sont menacés de toutes parts. Par exemple, des cybercriminels tentent régulièrement de s’introduire illégalement dans le système informatique des entreprises pour voler des données. Mais la menace est parfois interne, comme quand un collaborateur répand un virus en installant un logiciel non vérifié sur son ordinateur professionnel. Et que faire si un serveur de données tombe en panne et paralyse l’activité de l’entreprise ?

Tous ces incidents peuvent impacter gravement la sécurité de l’information : des données confidentielles, comme des adresses emails de clients, pourraient être dévoilées publiquement, ou altérées voire perdues. Par conséquent, l’entreprise doit assurer la sécurité de ses informations à travers des mesures et des procédures renforçant la sécurité.

Par ailleurs, l’entreprise doit se mettre en conformité avec des réglementations de plus en plus contraignantes, entre autres au niveau de la sécurité des données. Par exemple, le règlement général de la protection des données (RGPD) renforce les droits des personnes en leur assurant davantage de maîtrise sur leurs données, mais impose aussi de nouvelles règles à l’entreprise qui les traite.

Si les grandes organisations disposent des ressources pour gérer la sécurité de l’information, les PME ne bénéficient pas toujours de spécialistes dédiés. Dès lors, leurs responsables doivent prendre en charge eux-mêmes le pilotage de la sécurité.

Nous avons donc voulu leur proposer un guide introductif et pratique qui rassemble les bases juridiques, techniques et managériales de la sécurité de l’information dans un seul ouvrage.

Quel est l’objectif de ce livre ?

L’objectif de ce livre est de permettre à des acteurs non informaticiens de comprendre la problématique de la sécurité de l’information et ses enjeux, et de mettre en œuvre la sécurité de leurs systèmes. L’ouvrage vise à synthétiser les connaissances et les recommandations pratiques de base pour gérer la sécurité de l’information en conformité avec le RGPD.

Le livre propose une approche intégrée de la sécurité de l’information en traitant conjointement :

• des aspects juridiques   : comment se mettre en conformité avec les réglementations en vigueur et quels sont leurs impacts   ?

• des aspects techniques   : quelles sont les vulnérabilités des technologies digitales et comment les pallier   ?

• des aspects managériaux   : comment impliquer les acteurs dans la sécurité et mener à bien des projets de sécurité   ?

À qui s’adresse ce livre ?

Cet ouvrage s’adresse d’abord aux gestionnaires, cadres et dirigeants de PME qui souhaitent comprendre les problèmes et les solutions liés à la sécurité de l’information.

Il intéressera également les futurs conseillers en sécurité qui cherchent un guide pratique pour démarrer un projet de sécurité.

Les spécialistes des technologies de l’information et de la communication liront cet ouvrage pour se sensibiliser aux différentes facettes de la sécurité de l’information.

Finalement, tout utilisateur constitue un rouage important de la sécurité et à ce titre il doit être dûment informé et formé à la sécurité de l’information. Ce livre lui permettra d’adhérer proactivement aux projets de sécurité.

Comment ce livre est-il organisé ?

Cet ouvrage est conçu comme un guide pratique pour actionner des mesures et des procédures de sécurité de l’information. Il aborde la sécurité de l’information en trois temps.

Tout d’abord, la section 1 introduit les notions clés de la sécurité de l’information, présente les menaces et le cadre juridique correspondant, pour ensuite expliquer comment gérer la sécurité l’information à travers un projet ad hoc.

La section 2 donne un aperçu du RGPD, qui constitue une motivation importante pour sécuriser les systèmes d’information. Le RGPD est détaillé à travers :

• une définition des notions de donnée à caractère personnel et de traitement   ;

• les principes fondateurs du règlement   ;

• les changements organisationnels qu’implique le règlement   ;

• les étapes clés pour se mettre en conformité.

Ensuite, les sections 3 à 10 proposent un ensemble de mesures d’hygiène sécuritaire de base pour protéger les principaux composants du système d’information. Les mesures sont présentées à travers les thématiques suivantes :

• Les ressources humaines et la sécurité   : comment amener les collaborateurs à être des acteurs responsables de la sécurité   ?

• Le contrôle d’accès aux données   : comment définir, mettre en œuvre et contrôler la manière dont les utilisateurs accèdent aux données   ?

• La protection du poste de travail   : comment sécuriser les équipements de chacun   ?

• La sécurité des réseaux   : comment protéger les réseaux permettant la circulation d’information à l’intérieur et à l’extérieur de l’entreprise   ?

• La sécurité dans le cloud   : comment faire en sorte que la partie du système d’information qui est externalisée dans le cloud soit sûre   ?

• La sécurité en situation de mobilité   : comment sécuriser le travail et les équipements nomades   ?

• La sécurité physique et environnementale   : comment contrôler la sécurité de l’environnement du système d’information   ?

• La gestion des incidents   : comment préparer une réaction adéquate en cas de survenance d’incident de sécurité   ?

Les thématiques