Forum InCyber 26-28 mars 2024
La conformité à la sécurité des données (RGPD en Europe et LPD en Suisse)
La conformité à la sécurité des données (RGPD en Europe et LPD en Suisse) est un pilier de la stratégie numérique !
En Suisse, la nouvelle loi sur la protection des données (compatible avec le RGPD) entrera en vigueur en septembre 2023, elle tient compte des développements de nouvelles technologies et de la transformation numérique des entreprises.
« Cette modernisation est importante pour que l’UE continue de reconnaître la Suisse comme un État tiers ayant un niveau de protection des données adéquat et que l’échange de données transfrontière reste possible sans exigences supplémentaires. Il s’agit là de points cruciaux pour la place économique et la compétitivité de la Suisse », affirme le Conseil Fédéral.
La démarche pour être conforme à ces règlementations, visant à sécuriser les données personnelles, peut être étendue à l’ensemble des données critiques: données stratégiques, commerciales, financières…
Une entreprise ne peut pas se lancer dans la transformation numérique sans mettre en place un dispositif permettant de sécuriser son patrimoine informationnel et ses systèmes d’information. Ce dispositif doit impérativement faire partie de la stratégie numérique! Objectifs: renforcer la confiance (transparence sur les raisons de la collecte de données), améliorer l’efficacité, mieux gérer ( par exemple : ne collecter que ce qui est nécessaire, détruire ce qui n’est pas utile, ou ce que vous n’avez pas le droit de conserver), optimiser les investissements informatiques, assurer la continuité de l’activité.
Comment faire pour se mettre en conformité RGPD / LPD?
– Identifier des données critiques
– Cartographier les risques
– Garantir l’intégrité du patrimoine en réduisant les risques de pertes de données ou de piratage.
– Prendre des mesures, informatiques ou physiques, qui dépendront du type de données traitées.
Conformité, éthique et sécurité sont intimement liées!
Pour en savoir plus : https://lnkd.in/eCJHB93G
Quizz sur le RGPD / LPD : testez vos connaissances !
La responsabilité des dirigeants et les cyber risques
Le risque cyber, l’affaire de tous dans l’entreprise.
Regarder en replay le webinaire du 9 mars 2022 sur le thème : Administrateurs, dirigeants, votre responsabilité est de plus en plus exposée… Comment faire face?
Avec l’intervention de Marie de Fréminville, administratrice et experte en cybersécurité.
Le risque cyber est-il bien pris en compte par les entreprises ?
La plupart des PME minimisent le risque cyber. Pourtant, elles ne sont pas à l’abri des attaques. Pour les cybercriminels, il est plus facile de pirater des PME, qui manquent de ressources dédiées, et d’obtenir le paiement d’une rançon. Par ailleurs, elles sont la porte d’entrée pour atteindre leurs clients, avec lesquels elles sont connectées.
Le risque cyber n’est pas qu’un sujet IT. C’est aussi une responsabilité des dirigeants. Comment les sensibiliser ?
Les dirigeants sont responsables de la pérennité de l’entreprise. Une cyberattaque peut avoir des impacts graves, en termes financiers et de réputation. La faille étant à 95 % humaine, la formation de tous est indispensable. Les outils IT sont nécessaires, mais ne suffisent pas : les dirigeants doivent identifier les actifs critiques à protéger, mettre en place une organisation, des processus, des règles, un audit régulier, et se préparer à gérer la crise qui va arriver.
Quels sont les enjeux à venir de la cyber sécurité ?
Les attaques vont se multiplier. La cybersécurité est basée sur la gestion de risques, l’anticipation de la crise, la mise en place de moyens, notamment humains, le développement d’une culture dans l’ensemble des organisations (le risque est systémique !). Comme pour l’automobile, la sécurité s’améliorera avec du matériel fiable, des contrôles techniques, un permis de conduire obtenu grâce à de la formation, un code de la route et un contrôle de l’application de règles standard.
image d’illustration : Image by freepik
Faut-il transférer les risques cyber à l’assurance?
ENTRETIEN CYBER – CYBER-SÉCURITÉ ET DÉCIDEURS avec Marie de Fréminville
A regarder sur Youtube, une vidéo de CYCOVER, le premier comparateur de cyber assurance en ligne.
Parce que nous voulons contribuer à rendre le monde numérique plus sûr, nous avons décidé de donner la parole à des experts du domaine.
Nous sommes heureux de poursuivre ce cycle d’entretiens avec Marie de Fréminville, administratrice de société membre de l’IFA, associée fondatrice de Starboard Advisory et experte en gouvernance, cartographie des risques et performance financière.
Elle nous donne sa vision de la relation entre les RSSI et les dirigeants, sur l’assurance cyber, et le rôle clé des décideurs en matière de cyber-sécurité
Et si la prochaine crise était numérique ?
Les dirigeants et administrateurs ont un rôle à jouer dans la lutte contre le crime informatique. « Quand c’est urgent, c’est trop tard » (Talleyrand).
Crise sanitaire, crise numérique et conseils d’administration
La crise sanitaire aura des conséquences significatives sur nos entreprises. Au-delà de la survie de l’entreprise à court terme, la direction d’entreprise et le conseil d’administration se pencheront sur les conséquences à moyen terme et long terme, et l’adaptation éventuelle de l’entreprise au monde d’après, qui sera certainement plus numérique.
Une crise numérique pourrait avoir des conséquences tout aussi graves que cette crise COVID-19, et il est nécessaire de s’y préparer. L’entreprise Lise Charmel, attaquée fin 2019, en redressement judiciaire depuis mars 2020. « Quand c’est urgent, c’est déjà trop tard » disait Talleyrand.
Le développement du numérique est nécessaire, mais fragilise nos entreprises, et le rythme des attaques informatiques n’a pas ralenti, bien au contraire, y compris contre les hôpitaux et les organisations de santé, notamment pour collecter des données qui ont de la valeur sur le marché du « big data ».
La mise en place de dispositifs de cyber sécurité fait partie des responsabilités des dirigeants et administrateurs. Ils permettront d’assurer la pérennité des organisations et de se positionner comme acteurs de confiance.
La prise de conscience par les conseils d’administration des impacts que pourrait avoir une crise numérique est insuffisante, faute de compétences à bord. Plus de 50 % des conseils d’administration n’utilisent pas d’outils dédiés à l’échange de documents. Plus de 60% des documents échangés par les conseils d’administrations et les directions ne sont jamais chiffrés ou sont occasionnellement chiffrés. 1% des conseils d’administration sont identifiés comme complétement formés et informés sur les thématiques de cyber sécurité.
Les mesures à prendre sont comparables dans les domaines sanitaires et numériques.
En termes de :
– prévention : appliquer les règles d’hygiène (dans le domaine numérique : sécurité des postes de travail, des communications, et des réseaux…), partager des informations de qualité sur les menaces pour pouvoir réagir vite et efficacement.
– identification des vulnérabilités, des actifs critiques et vitaux
– détection des signaux faibles, pour pouvoir intervenir très vite
– protection : organisation, formation, règles et processus (mises à jour, configuration, sauvegardes), outils : firewall, antivirus, VPN, scan tools…
– réaction : se confiner dans le domaine sanitaire, débrancher les postes de travail infectés pour éviter la propagation des virus, dans le domaine numérique.
– restauration des systèmes et données, via des sauvegardes
La qualité des infrastructures nationales (réseaux de télécommunications, data centers, équipements et applications…) est essentielle pour la performance des organisations, elle sera un facteur de décision, concernant les développements à l’international.
Enfin, la qualité de l’écosystème (fournisseurs, banques, prestataires) est déterminante, d’un point de vue de la qualité de leurs produits ou services, mais aussi du point de vue de leur maturité en matière de cyber sécurité.
L’espace cyber n’a pas de frontières, la crise peut être systémique, et les virus peuvent se répandre rapidement. L’objectif de la cyber sécurité n’est pas d’arrêter l’épidémie, mais de se préparer à limiter les impacts.
Marie de Fréminville
Présidente de Starboard Advisory
Membre du Cercle Suisse des Administratrices
Formation confiance numérique, conformité protection des données, cybersécurité
Préambule
• Les administrateurs et dirigeants n’ont pas vocation à devenir des experts Informatiques.
• L’essentiel est comprendre les enjeux et les responsabilités
• 2 priorités: la gestion des risques et la conformité
Contenu
1. Le contexte général
2. La crise covid-19 et le télétravail
3. Les enjeux pour les organes de gouvernance
4. Les dispositifs à mettre en place
5. La conformité
Formations – Ateliers – séminaires adaptés à vos activités
1. Cartographier les risques
2. Evaluer la stratégie de cyber sécurité
3. Mettre en place le dispositif (estimer les coûts)
4. Simuler la crise
5. Etudier le transfert des risques à l’assurance
Crise COVID 19: Faîtes un bilan numérique du confinement !
Conseils d’administration, demandez à la direction de l’entreprise un bilan de la situation, évaluez les risques et les dispositifs à mettre en place : cybersécurité, impact social et environnemental.
« Faîtes un bilan numérique du confinement ! »
Il va falloir faire un bilan du confinement, concernant la sécurité, mais aussi l’impact social et environnemental.
Il a fallu quelques jours, voire quelques semaines, pour que les entreprises et leurs collaborateurs, déstabilisés, s’adaptent au confinement. Les cybercriminels ont profité de cette situation inédite: attaques sur les établissements de santé, faux sites web et phishing exploitant le sujet numéro 1: coronavirus / covid-19, simulations de communications gouvernementales, création de sociétés fictives pour « livrer » des masques et des tests, ou recevoir des dons…
Que s’est-il passé pour que la cyber criminalité augmente ?
Première raison : la surface d’exposition augmente. La population en télétravail est passée brutalement de 20% à 60% augmentant la charge de travail des équipes informatiques : achat d’ordinateurs, installation de logiciels de sécurité, formation aux outils et aux bonnes pratiques de télétravail, surveillance des activités à distance. L’utilisation d’applications non-sécurisées se développe, le cadre de travail est désorganisé. Les nouvelles attaques liées au Covid-19 (malwares, attaques DNS, noms de domaines frauduleux, faux sites, spams, phishing, faux installeurs) ne sont pas identifiées par les systèmes de sécurité. Par ailleurs, les comportements changent (l’horaire de travail par exemple) ce qui crée de fausses anomalies dans les systèmes de détection.
Deuxième raison : L’utilisation d’ordinateurs personnels et du wifi domestique, de logiciels qui ne sont pas à mis à jour (patch de sécurité), et de connexions non sécurisées rend possible les vols ou pertes de données. L’équipe informatique est moins disponiblepour contrôler le système d’information. Enfin, les données sont éparpillées, les sauvegardes ne sont pas assurées selon les processus habituels !
L’état de confusion et d’anxiété des collaborateurs peuvent engendrer de mauvaises manipulations.
Troisième raison : les outils de visioconférence sont utilisés dans des campagnes de phishing pour récolter les informations d’identification des utilisateurs, via des emails, ou encore un lien qui invite le destinataire à cliquer pour activer son compte et le rediriger vers une fausse page web afin qu’il saisisse ses identifiants. Un autre type de mail prétexte une réunion manquée, comprenant un lien vers une fausse page d’identification.
Par ailleurs, les niveaux de sécurité des plateformes sont divers (des études ont été publiées à ce sujet).
D’un point de vue environnemental, les applications de vidéoconférence et la sécurité sont consommatrices en énergie, surtout lorsque la caméra est activée, comme l’indique une analyse de la société « Greenspector » (source : ICT journal). Par ailleurs, les réseaux sont très sollicités et le recours durable au télétravail exigera une augmentation des capacités. Les économies réalisées en diminuant les transports sont-elles supérieures aux dépenses énergétiques liées à la digitalisation des entreprises et au télétravail ?
Reste l’aspect social à analyser : nouveau rythme de travail, espace de travail inadapté, employabilité, formation, capacité à travailler ensemble malgré la distance, frustrations non exprimées, signaux faibles non détectés par un management distant, et bien d’autres effets à lister.
Marie de Fréminville
Présidente Starboard Advisory
Membre du Comité du Cercle Suisse des Administratrices
Membre du bureau HEC Gouvernance