Piratage informatique, données volées : que faire ?

Le GNI souhaite alerter tous les établissements quelle que soit leur taille ou leur métier du risque accru de piratage informatique. Par un simple accès à une boite mail, les hackers peuvent voler des données personnelles de clients ou de salariés, voire même étendre leur attaque à d’autres données contenues dans des logiciels et aux données des sous-traitants.

Que faire pour se prémunir d’une attaque informatique ?

  1. Mettre en place le RGPD

Le Règlement européen de protection des données personnelles intègre peu de nouvelles obligations pour les entreprises françaises déjà conformes à la Loi Informatique et Liberté. Néanmoins Il est fondamental de s’assurer que toutes les actions sont bien mises en œuvre pour pouvoir assurer aux personnes dont les données personnelles sont collectées, une sécurité optimale.

De même la tenue du Registre de protection des données permet aux entreprises de revoir leurs procédures opérationnelles pour les adapter aux nouveaux usages numériques.

Le GNI a réalisé un Guide dédié aux établissements HCR contenant tous les modèles de documents nécessaires. <a href=’https://www.gni-hcr.fr/europe-numerique/informatique/rgpd/article/mettre-en-place-les-obligations-de-protection-des-donnees-personnelles-rgpd?lang=fr&var_mode=calcul’>Lire ici notre article avec les actions à mener et le Guide en pièce jointe (réservé aux adhérents.)

  1. Intégrer la cybersécurité dans tout l’établissement

La cybersécurité des installations informatiques et l’information régulière aux collaborateurs sont les deux clefs pour limiter les attaques informatiques. 

A NOTER : La boite mail générique de l’établissement est l’accès le plus sensible pour l’ensemble des données de l’entreprise. Il est donc fondamental de la sécuriser au maximum et de mettre en place des procédures de sécurité spécifiques.

Les usages des collaborateurs ET des clients doivent être bousculés pour garantir la sécurité des données de chacun :

  • Ne pas enregistrer le mot de passe de la boite de réception mais le retaper à chaque ouverture ;
  • Les mails contenant les données bancaires des clients doivent être supprimés deux fois (pour une suppression définitive) après avoir été enregistrés (avec un nom de fichier ne permettant pas d’identifier un individu) sur un serveur crypté et protégé d’un mot de passe. Favoriser les virements pour les arrhes, les acomptes ou les réservations NANR dans l’hôtellerie.
  • N’envoyer AUCUN mot de passe par mail !

Le GNI attire l’attention des établissements sur les bons réflexes à adopter et à faire circuler à l’ensemble des collaborateurs, même ceux dont l’usage de matériel informatique n’est a priori pas nécessaire pour le poste occupé. <a href=’https://www.gni-hcr.fr/europe-numerique/informatique/cybersecurite/?lang=fr’>Lire ici notre rubrique dédiée.

Une Charte informatique peut également être adjointe au Règlement intérieur de l’établissement pour régir les usages informatiques des collaborateurs et s’assurer du respect des bonnes pratiques en matière de cybersécurité. <a href=’https://www.gni-hcr.fr/europe-numerique/informatique/materiel-informatique/article/modele-de-charte-informatique-pour-un-etablissement-chr?lang=fr’>Lire ici notre article contenant le modèle de Charte (réservé aux adhérents).

Que faire en cas d’attaque informatique avérée ?

Si malheureusement votre établissement a été victime d’une attaque voici les étapes à suivre :

  1. Sécuriser immédiatement votre système informatique via votre prestataire habituel. Votre prestataire doit vérifier l’ampleur de l’attaque, le périmètre des données compromises, et vous proposer des mesures de sécurité pour remédier au problème rencontré. Il doit également conserver les preuves de l’attaque afin de vous permettre de porter plainte.
  2. Porter plainte au commissariat le plus proche et récupérer une attestation de plainte. En cas de refus catégorique du commissariat (certains étant peu à même de comprendre les problématiques numériques et les lourdes conséquences dans la société…) le GNI vous invite à écrire une <a href=’https://www.service-public.fr/particuliers/vosdroits/R11469’>Lettre plainte au Procureur de la République.
  3. Faire une première déclaration CNIL dans les 72h si des données personnelles sont susceptibles d’avoir été volées. <a href=’https://notifications.cnil.fr/notifications/index’>Formulaire en ligne disponible ici. Il faudra indiquer tout ce qui a été déjà été fait et si possible tout ce qui est en cours de réalisation. <a href=’https://www.cnil.fr/cnil-direct/question/reglement-europeen-quand-faut-il-notifier-une-violation-de-donnees-la-cnil?visiteur=pro’>Cliquer ici pour plus d’informations sur les démarches CNIL. Pour plus d’aide vous pouvez également contacter Info Escroqueries au 0811 02 02 17 (prix d’un appel local depuis un poste fixe ; ajouter 0.06 euros/minute depuis un téléphone mobile) - Du lundi au vendredi de 9h à 18h
  4. Prévenir les personnes (clients, collaborateurs…) concernées (ou potentiellement concernées) par le vol de données par un mail ou courrier (en cas d’absence d’adresse mail) en mentionnant tout ce qui a été fait immédiatement, voire en les invitant à eux-mêmes faire le nécessaire. Le GNI vous propose un modèle pour vous accompagner en pèce jointe à cet article (également disponible dans le Guide RGPD mis à jour). Non seulement cette information est une obligation légale, mais cela pourrait être déterminant pour la CNIL.
  5. Faire vérifier le système informatique de l’établissement par un audit extérieur. En effet, sans préjugé des compétences du prestataire habituel, l’établissement doit pouvoir prouver que tout a été mis en œuvre pour éviter que l’incident ne se reproduise. L’audit est important pour s’assurer qu’aucun malware, logiciel malveillant n’a été installé sur vos postes lors du piratage rendant les changements de mots de passe inutiles… puisque visible par le hacker… Cela vous donne par ailleurs un document attestant de votre prise en main du problème. Un prestataire peut être trouvé sur cybermalveillance.gouv.fr : <a href=’https://www.cybermalveillance.gouv.fr/annuaire-des-specialistes/’>https://www.cybermalveillance.gouv.fr/annuaire-des-specialistes/ OU pour les grands comptes (dans la rubrique RGS) : https://www.ssi.gouv.fr/uploads/liste-produits-et-services-qualifies.pdf
  6. Consulter la plateforme <a href=’https://www.cybermalveillance.gouv.fr/’>cybermalveillance.gouv.fr pour obtenir un support complémentaire.

Documents

Chemin