YDE CDM

Sécurité des données

Sécurité des données

Si vous êtes victime d’une cyberattaque, signalez-le au

Computer Incident Response Center Luxembourg (CIRCL)

Une cyberattaque peut paralyser l’activité d’une entreprise, en l’empêchant de passer de commandes ou d’accéder aux données clients. Il est important de prendre les précautions nécessaires afin de sauvegarder vos données, aussi bien sur le réseau interne que sur les appareils mobiles.

La sécurité de vos données d’entreprise ne doit pas seulement être garantie au niveau administratif, mais aussi au niveau des employés du terrain. En effet, les employés sont fréquemment victimes de cyberattaques à cause de logiciels antivirus manquants, de systèmes opérationnels dépassés ou de négligence vis-à-vis de sites internet dangereux ou de courriels frauduleux.

Comment sécuriser mes données ?

Installez une protection de base adéquate sur vos appareils. Utilisez des mots de passes robustes et installez des logiciels d’antivirus et de pare-feu sur tous vos appareils afin de minimiser le risque d’un vol ou d’une perte de vos données.

Actualisez régulièrement vos logiciels et systèmes d’exploitation. Le niveau de protection de vos appareils électroniques peut être amélioré en assurant la mise à jour régulière de vos logiciels et systèmes d‘exploitation de vos appareils.

Effectuez régulièrement une sauvegarde (Backup) de toutes vos données. C’est le seul moyen d’éviter la perte de vos données lors d’une cyberattaque, d’une panne technique ou d’un incident. N’oubliez pas d’effectuer aussi une sauvegarde de vos données stockées dans un cloud.  Pour plus d’informations : Comment sécuriser les données de votre entreprise grâce au backup

Utilisez des sites sécurisés. Si vous traitez des données clients sensibles (mots de passe, n° de carte de crédit, etc.), assurez-vous d’utiliser des sites « https:// » et non « http:// ».

Gérez les accès. Il n’est pas seulement important de gérer les accès des ordinateurs et des terminaux mobiles, mais aussi les accès des locaux. Qui a accès aux documents, à la salle informatique, etc. ? Quand est-ce que les bureaux sont-ils nettoyés ?

Pour plus d’informations : Check-list pour la sécurité de vos données et votre sécurité informatique

Protection complémentaire :

Assurance

Les sociétés d'assurances offrent des solutions spécialement conçues pour vous protéger contre les risques d’une cyberattaque, ce qui vous donne une sécurité financière en cas de corruption ou de perte de données lors d’une cyberattaque.

Cases.lu

Cases.lu, une initiative du Ministère de l’Economie du Luxembourg, vous offre gratuitement un diagnostic de votre sécurité informatique. Dans le cadre de ce contrôle, Cases.lu identifiera les vulnérabilités de votre sécurité informatique actuelle, déterminera son niveau de sécurité et vous proposera des axes d’amélioration. Pour plus d’informations : Cases.lu

Auto-évaluations :

Testez le niveau de sécurité de votre système informatique : Fit4Cybersecurity

Testez vos contrats liés à des technologies d’informations et de télécommunication : Fit4Contract

Testez la résistance de vos mots de passe : BeeSecure

Comment sensibiliser mes employés sur les risques informatiques ?

Près de 90 % des cyberattaques résultent d’erreurs humaines. Prendre des précautions technologiques n’est donc pas suffisant en soi. Il est primordial d’informer vos employés sur les risques et implications qu’une cyberattaque peut avoir sur votre entreprise, ainsi que sur leur responsabilité dans la réduction du risque d’une telle attaque.

Introduisez un règlement pour l’utilisation de l’internet. L’introduction d’un règlement interne précis sur l’utilisation des canaux de communication internes et externes peut aider à ce que les employés utilisent les réseaux numériques avec prudence.

Introduisez une politique de mots de passe. Assurez-vous que tous vos appareils sont protégés par des mots de passe, que les mots de passe ne soient pas partagés (intentionnellement ou non) et que des différents mots de passe soient utilisés pour les différents canaux. Pour plus d’information sur comment se protéger avec un mot de passe sécurisé : BeeSecure

Formez votre personnel sur le traitement de données et l’utilisation de l’internet. Les employés sont sans doute des experts dans leur champ d’activités, mais ils doivent aussi être formés aux dangers du numérique, notamment en matière de communication par courrier électronique. Les employés ne savent souvent pas quelles informations ils ont le droit de transmettre et à qui. Il est important qu’ils comprennent les conséquences d’une utilisation inconsidérée. Pour plus d’informations : Cases.lu

Etablissez un plan d’intervention d’urgence. Définissez et communiquez les mesures à prendre dans le cas d’une cyberattaque. Ceci vous permettra de minimiser les dommages. Le C3, Cybersecurity Competence Center Luxembourg, simule dans son Room #42 des cyberattaques en temps réel et permet aux visiteurs de se familiariser avec les stratégies des pirates, ainsi que d’apprendre comment surmonter la crise. Pour plus d’informations : Room #42

Pour plus d’informations sur les différentes thématiques de la cybersécurité : Securitymadein.lu

Si vous êtes victime d’une cyberattaque, signalez-le au CIRCL.

Quels sont les risques ?

Ransomware décrit un logiciel malveillant qui empêche la victime d’accéder à ses données. Les pirates informatiques infectent votre ordinateur en vous demandant de télécharger une pièce jointe malveillante attachée à un courriel ou de vous rendre sur un site contenant un code, qui chiffre par la suite vos données ou bloque l’accès à votre l’ordinateur. Il est conçu pour forcer les victimes à payer une rançon pour que leurs fichiers soient déchiffrés. Cependant payer la rançon ne garantit pas le retour des données. C’est pourquoi il est déconseillé de payer une rançon.

Logiciel espion (en anglais : Spyware) décrit un programme d’espionnage qui s’installe sur votre ordinateur sans que vous le sachiez, collecte des informations et les transmet à des tiers. Il existe différentes sortes de spyware. D’un côté, il y a des programmes inoffensifs qui analysent votre comportement sur les sites internet et qui utilisent les informations collectées à des fins publicitaires. Mais il existe aussi des programmes agressifs qui peuvent enregistrer et transmettre vos mots de passe, vos noms d’utilisateurs et vos numéros de compte.

Hameçonnage (en anglais : Phishing) désigne la pratique frauduleuse qui consiste à tenter d’obtenir des informations sensibles, telles que des mots de passe, des numéros de cartes de crédit ou de comptes bancaires. Les arnaqueurs essaient par le biais de sites web, courriels ou messages frauduleux de vous persuader à révéler des données confidentielles ou financières. Il est important de rester prudent en ouvrant des liens internet reçus par courriel. A première vue, ces messages frauduleux semblent avoir été envoyés par des institutions de confiance, comme votre banque, et souvent ils vous demandent d’ouvrir un lien internet qui va vous inviter à entrer des données confidentielles. Dans bon nombre de cas, les sites frauduleux sont difficiles à identifier car ils se distinguent seulement par de discrètes fautes de frappe ou des modifications mineures des sites officiels (par exemple en indiquant chambredesmetiers.lu au lieu de cdm.lu).

Usurpation (en anglais : Spoofing) désigne la capacité à se faire passer pour quelqu’un d’autre. Il faut différentier entre l’usurpation au niveau humain et au niveau technique. Au niveau humain, elle décrit la pratique frauduleuse qui consiste pour un pirate à usurper l’identité d’un contact ou d’une source connue, comme une entreprise, et de se faire passer pour ce dernier afin d’accéder à des informations sensibles, la plupart du temps pour en tirer un gain financier. Au niveau technique, l’usurpation consiste à tromper un ordinateur ou un réseau avec une adresse IP (un numéro unique assigné à un appareil permettant de vous identifier sur internet) falsifiée en redirigeant le trafic internet au niveau du nom de domaine ou en falsifiant les données ARP (ces données permettent de connaître l'adresse physique d'une carte réseau correspondant à une adresse IP) sur un réseau local.

Courriels indésirables (en anglais : Spam) désigne l’envoi en masse de courriels indésirables contenant des factures ou d’autres informations liées à des commandes en ligne. Même si la plupart des prestataires de services pour des services de courrier électronique ont installé des filtres « anti-spam » pour trier les envois en masse, vos employés doivent quand même être vigilants en ouvrant des courriels d’origine inconnue.

Parasites informatiques. Virus, vers et chevaux de Troie sont les classiques parmi les parasites informatiques. Cependant, il existe des différences entre ces trois agresseurs.

Les virus ne peuvent se propager d’un ordinateur à un autre qu’avec une aide externe, par exemple à l’aide d’une clé USB ou d’un courriel envoyé par une tierce personne.

Les vers, peuvent se transmettre eux-mêmes en s’envoyant automatiquement à tous les contacts de votre carnet d’adresses et peuvent ainsi se disperser de manière autonome dans tout votre réseau.

Les chevaux de Troie sont des programmes nuisibles qui s’introduisent secrètement dans votre système informatique et exécutent diverses tâches, comme l’espionnage de vos mots de passe ou des informations de connexion pour les services de banque en ligne.

Contact

ServiceeHandwierk
Digitalisation
CarmenKieffer
Conseillère digitalisation
FrédéricWeimerskirch
Conseiller digitalisation
AnneMajerus
Chef de service