L'idée de l'hameçonnage est d'obtenir des renseignements électroniques de nature sensible - comme des noms d'utilisateur, des mots de passe, des renseignements bancaires, des comptes de carte de crédit, etc. - sous des prétextes fallacieux. Souvent, lorsque des pirates se livrent à l'hameçonnage, ils utilisent l'usurpation d'identité pour envoyer des pourriels, des sites internet malveillants, des courriels et des messages instantanés pour tromper vos employés et les amener à divulguer des informations confidentielles sur votre entreprise.

Maillon faible

Mardi matin, votre employé du département RH a reçu un courriel semblant provenir de votre prestataire de services RH. Le courriel comportait un lien vers un fichier Dropbox avec les 200 dossiers médicaux de vos employés à des fins de vérification. Il a certainement agi avec les meilleures intentions du monde mais s'est fait avoir en cliquant sur ce lien et en installant par la suite le logiciel malveillant sur son ordinateur. Pas de chance, ce logiciel malveillant était un logiciel de rançon. Tous vos fichiers sont cryptés et votre système est retenu en otage en échange de 100 bitcoins.

Dans ce genre d'incident mettant en péril la confidentialité, la disponibilité et l'intégrité de vos données, la rapidité d'intervention est primordiale pour réduire les conséquences d'une telle situation. Pour ce faire, votre entreprise doit avoir prévu les procédures spécifiant la marche à suivre en cas de détection d'incident ainsi que les personnes responsables (par exemple le data protection officer ou le conseiller en sécurité) pour gérer l'incident et restaurer une situation saine.

Les employés sont souvent reconnus comme le maillon faible de tout système de sécurité. Si vous voulez protéger efficacement votre réseau contre les attaques de phishing, adressez-vous à la source humaine du problème.

Pour garantir que tous vos employés s'engagent à respecter leurs obligations en matière de confidentialité et de sécurité des données, votre organisation doit informer tous les employés impliqués dans l'utilisation et le traitement des données quant aux obligations de confidentialité et de sécurité. Cette information peut prendre diverses formes comme un code de bonne conduite ; une mention de ce code de bonne conduite dans votre règlement de travail ; une description de fonction avec mention des obligations de confidentialité et de sécurité ; des clauses contractuelles ; etc.

Former le personnel

Une formation et une sensibilisation appropriées aux dangers de l'hameçonnage ainsi qu'un recyclage régulier sont également encouragés. La plupart de vos employés sont prêts à aider mais ne le pourront pas s'ils n'ont pas les cartes en main. En inscrivant votre personnel à des cours de formation ou d'apprentissage en ligne sur la cybersécurité, vous obtiendrez des employés qualifiés, moins susceptibles d'exposer des renseignements confidentiels. Une simulation d'une attaque par hameçonnage en interne constitue également un bon exercice.

En l'absence de pareilles mesures, il sera difficile de considérer votre employé comme responsable des dégâts informatiques causés à votre entreprise. Même à supposer que toutes ces mesures soient effectivement en place, votre entreprise ne sera jamais à l'abri d'événements impondérables comme les erreurs humaines. Sauf à démontrer une fraude ou un sabotage informatique, votre employé ne sera vraisemblablement pas responsable d'avoir cliqué sur ce lien malicieux et crypté tous vos fichiers. Si en revanche l'événement se reproduit à plusieurs reprises, malgré les formations, il y a de fortes chances qu'il pourra être congédié pour avoir causé ces atteintes à la sécurité de votre entreprise.

Thomas Dubuisson avocats chez CMS

Il est illusoire de penser que tous les risques au sein de votre entreprise puissent être exclus. C'est votre capacité à maintenir le risque résiduel au niveau le plus bas possible qui vous permettra de gérer au mieux ce genre d'incident. Pensez éventuellement à vous assurer. Il existe divers produits d'assurance cybernétique qui offrent une (large) couverture pour vous protéger contre ces incidents, la perte de revenus et les coûts d'intervention en cas d'incident.