Les directeurs et les propriétaires sont légalement responsables de la protection et de la sécurité des données dans leur PME. Cette responsabilité et le risque que cela représente ne peuvent pas être transférés aux collaborateurs, ni à des prestataires informatiques, ni à une compagnie d’assurance. Par ailleurs, la nouvelle loi sur la protection des données (nLPD), en vigueur depuis le 1er septembre de cette année, augmente les exigences en matière de sécurité des données et constitue une condition préalable à la protection des données. Le moment est donc opportun pour examiner, remettre en question et améliorer les mesures déjà prises.

1: les données sont sécurisées grâce au back-up

La PME sauvegarde régulièrement ses données commerciales importantes – documents Office, bases de données CRM et ERP, manuels et autres informations numériques importantes. Mais en cas d’urgence, il faut s’assurer que les données puissent également être restaurées. En cas d’attaque réussie, les cybercriminels ne doivent pas avoir accès aux back-ups, car ils pourraient les crypter et les rendre inutilisables ou les publier.

Réfléchissez à votre stratégie de sauvegarde si l’une de ces affirmations s’applique à votre situation:

• La sauvegarde est accessible en permanence depuis un PC, car elle se trouve sur un disque dur externe ou sur un serveur d’accès au réseau.

• La sauvegarde n’est pas cryptée.

• Il n’y a aucun contrôle pour vérifier si la restauration fonctionne et si les supports de sauvegarde sont disponibles et lisibles.

2: les droits d’accès et les comptes personnels protègent nos données

Cette affirmation est en principe vraie. Mais dans la réalité, la situation est souvent différente, notamment parce que tout le monde a accès à tout. Ce qui est peut-être conçu comme un gage de confiance envers les collaborateurs facilite grandement le travail des cybercriminels.

Ici aussi: si l’une des affirmations suivantes s’applique à vous, vérifiez les autorisations:

• Tous les collaborateurs ont accès à l’ensemble de l’archivage des documents, à quelques exceptions près comme la comptabilité et les RH.

• Lorsque des collaborateurs quittent l’entreprise, les comptes restent actifs pendant un certain temps.

• Pour certains services cloud ou l’intranet, plusieurs collaborateurs utilisent le même compte et le même mot de passe.

3: mises à jour régulières

Le problème réside dans la définition de «régulièrement»: installez-vous les mises à jour de sécurité immédiatement après leur sortie, ou y a-t-il des intervalles fixes auxquels votre PME ou le partenaire informatique met elle/lui-même à jour les postes de travail et les serveurs? En cas de failles de sécurité graves dans Windows et les applications Office (Microsoft 365), vous offrez aux cybercriminels un créneau horaire très apprécié pour exploiter les failles en retardant les mises à jour. Vous le savez déjà: si l’une des affirmations suivantes s’applique à vous, remettez en question la stratégie de mise à jour:

• Nous (ou le partenaire informatique) procédons à des mises à jour à intervalles définis.

• Nous avons des systèmes en service pour lesquels il n’y a plus de mises à jour de sécurité.

• Nous ne pouvons pas mettre à jour certains systèmes parce que le logiciel qui fonctionne dessus est trop ancien pour les systèmes d’exploitation plus récents.

Le contrôle et l’adaptation réguliers des mesures de sécurité informatique réduisent le risque de perte de données et de cyberattaques réussies, et donc aussi le risque d’interruptions d’activité. Une sécurité informatique accrue vous permet de réduire le risque de tels incidents et de vous protéger, vous et vos collaborateurs.

www.swisscom.ch/pme-securite