Le vol de données lié à la recrudescence des cyberattaques contre les organisations publiques et privées inquiète en France. Malgré le cadre législatif renforçant la sécurisation des données, à travers la loi Informatique et Libertés de 1978 et le RGPD adopté en 2018, les responsables IT doivent redoubler de vigilance pour protéger les systèmes informatiques. D’après les notifications reçues par la CNIL, les cas de violation des données ont augmenté entre 2020 et 2021 de 79% avec environ 14 notifications par jour. 43% de ces cas résultent d’une attaque par rançongiciel, soit plus de 2150 violations réalisées par ransomware.
L’enquête d’Egress, spécialiste anglais de la cybersécurité, révèle que 98% des 500 entreprises américaines et anglaises sondées ont mis en place des formations spéciales contre le hameçonnage au profit des employés en 2021. Une mesure saluée par Dokeos qui accompagne les entreprises dans l’élaboration de formations sur-mesure sur la protection des données.
Cahors, Corbeil-Essonnes, Ajaccio, Dax, Vitry-Le-François… La liste des cyberattaques ciblant des hôpitaux français n’en finit plus. En 2021, l’Agence numérique de santé en a compté 380, soit 70 % de plus qu’en 2020. Et les dégâts sont souvent considérables. A l’hôpital de Villefranche-sur-Saône, une cyberattaque a touché l’année dernière 3.000 ordinateurs, les arrêtant tous momentanément. L’hopital de Dax a subi la perte des données de l’ensemble de ses patients…Le gouvernement a d’ores et déjà promis une enveloppe supplémentaire de 20 millions d’euros pour renforcer la cybersécurité dans les établissements de santé. Mais cela sera-t-il suffisant ?
Un impact dramatique pour les entreprises ⚠️
Selon l’assureur spécialisé Hiscox, 1 entreprise sur 5 dans le monde ayant subi une cyberattaque en 2022 a vu sa solvabilité ou sa pérennité menacée à la suite de cet incident. Ce chiffre s’élève à près d’1 entreprise sur 4 dans l’Hexagone !
Les conséquences du piratage de données se révèlent en effet catastrophiques pour une entreprise, quelle que soit sa taille ou son activité, sur le plan financier : paiement de la rançon exigée pour accéder aux données ou bien pour les reconstituer, l’arrêt temporaire ou total de l’activité, la perte de ses données, etc. Sans oublier l’image de marque et la crédibilité entachées, laissant l’opportunité aux concurrents dotés de systèmes informatiques plus fiables, de séduire les clients qui ont perdu confiance.
Les serveurs Cloud dans le collimateur des hackers 💻
Votre nom, votre adresse, votre lieu de travail, vos loisirs, vos centres d’intérêt et les activités que vous effectuez en ligne constituent un butin précieux pour les hackers. Quand ils n’exigent pas une rançon pour redonner l’accès aux détenteurs initiaux qui stockent ces informations sensibles, les pirates les revendent sur le dark web. Exactement ce qui s’est produit lors de la cyberattaque du Centre hospitalier de Corbeil-Essonnes. « Des échantillons de données volées ont été publiés sur le site des attaquants » pour faire chanter l’établissement de santé.
Afin de dérober ces données sensibles, les cybercriminels piratent les adresses mail professionnelles (40%), les serveurs des entreprises (37%), les serveurs d’accès à distance (31%), les appareils mobiles personnels des employés (29%) et opérent des attaques DDoS (26%).
Le Big Data cible vos données 👁️
A garder toujours en tête : nos données ne sont pas seulement convoitées par les hackers (data piratage) mais également par les entreprises du big data, via notamment l’achat de données (data broking). Un procédé qui a été mis en lumière par le scandale Cambridge Analytica. Il ne s’agit pas d’un système en deux parties distinctes avec d’un côté les méchants pirates qui vous rançonnent et de l’autre les data brokers simplement présentés comme des petits malins du marketing. En réalité, c’est le même travail pour conduire au meme résultat : contrôler et priver de liberté.
Avant toute forme de hacking, mes données circulent simplement parce que j’ai accepté un cookie qui partage mes données avec des « tiers de confiance » qui ne sont ni listés ni connus de moi. Ces données de consommateurs sont collectées par des firmes spécialisées associées à d’immenses plateformes telles que Facebook puis elles sont revendues à des entreprises qui sauront parfaitement cibler nos habitudes et nos goûts de consommation. Ces data brokers agissent aujourd’hui dans la légalité sous réserve (toute théorique) de notre consentement et dans le cadre, du coup, réglementaire du RGPD qui sert surtout pour le coup à créer un faux climat de sécurité.
Comment Dokeos se protège 🔒
Plaçant la question de la souveraineté et la protection des données au centre de ses préoccupations, Dokeos pour sa part, opte pour des solutions cloud européennes de proximité, fournissant un niveau élevé de sécurité physique et de réseau.
En effet, les données des clients sont réparties sur des serveurs chiffrés et privés en Irlande, en Suisse et en France. Les sauvegardes sont effectuées manuellement et sont transférées au niveau du siège social de Dokeos en France, dans des serveurs sécurisés n’ayant pas accès à internet.
L’équipe de sécurité de Dokeos réalise en permanence des analyses de vulnérabilité et des tests d’intrusion sur ses propres serveurs. Des recherches de failles sont effectuées au moins une fois par semaine pour décélérer et gérer les nouvelles vulnérabilités sur son réseau interne et au niveau des applications. De surcroît, Dokeos mène régulièrement des tests et des audits techniques afin de contrôler le bon fonctionnement des mesures de sécurité déployées. Les rapports de ces audits sont examinés par le Comité de Sécurité Opérationnelle et les conclusions sont remontées au Comité de Pilotage Stratégique.
Des pratiques strictes en matière de sécurité
Dokeos mène une politique stricte de sécurité auprès de ses collaborateurs. La première fuite de données est généralement le fait d’une erreur humaine ou d’une naïveté humaine, par exemple le partage, par un collaborateur, de données client dans un outil de communication apartenant à un fournisseur non-privatif comme Google, l’utilisation sans lecture du contrat de confidentialité d’outils comme WhatsApp pour échanger des données sur les projets etc. Nous dressons donc auprès de nos collaborateurs la liste des outils compatibles avec notre engagement de confidentialité auprès de nos clients.
Vigilance 24h/24 ⏰
Chez Dokeos, la sécurisation et la confidentialité des données sont des sujets sérieux, autant pour le top management que pour les employés. « Une procédure de sécurisation des périphériques est exigée à la mise en service de chaque périphérique d’un collaborateur. Nos processus exigent la mise en place d’un mot de passe bios, le chiffrage du disque dur, l’utilisation de clé USB avec digicode, la sauvegarde des données en dehors du périphérique utilisé et l’enregistrement des données depuis notre serveur de fichier via un tunnel chiffré » affirme Thomas De Praetere, fondateur et CEO de Dokeos.
Les équipes sont continuellement sensibilisées aux bonnes pratiques de l’informatique. Les wifis publics sont proscrits, toutes les navigations internet sont en https, les emails sont consultés depuis un client chiffré, et les smartphones professionnels sont géolocalisés en cas de perte et configurés pour s’effacer à distance depuis un ordinateur.
En plus de fournir une plateforme où les entreprises peuvent déployer des formations sur la protection des données et la cybersécurité, Dokeos fournit pour ses partenaires une couverture 24h/24, 7j/7 et 365 jours par an pour répondre rapidement à tous les événements liés à la sécurité et à la confidentialité.
Une question concernant la gestion de vos données ? Les experts et consultants de Dokeos sont à votre disposition pour vous informer et vous aider à construire la meilleure formation en fonction de vos besoins. Contactez-nous !
