Le confinement dû au covid-19 depuis l’entrée en vigueur du décret 2020-260 du 16 mars 2020 portant réglementation des déplacements dans le cadre de la lutte contre la propagation du virus a obligé les professionnels à adapter leurs façons de travailler.

Alors que certains sont contraints de retourner sur le lieu de travail et de mettre en place des gestes barrières, d’autres ont dû, dans la précipitation, dématérialiser le fonctionnement de l’entreprise.

Or, la réaction à une crise est peu compatible avec la vision stratégique d’une entreprise et les écueils en matière de sécurité informatique sont nombreux. Outre la réglementation civile et pénale dite de droit commun, le règlement général sur la protection des données (RGPD) oblige les responsables de traitement de données à mettre en place une sécurité informatique idoine. La sécurité est assurée par l’information des salariés (I) ainsi que par la mise en place de mesures techniques de protection (II).

I) L’information des salariés

Lorsque l’entreprise a des salariés elle doit impérativement mettre en place des mesures aux fins d’informer sur les bonnes pratiques en matière de cybersécurité dans le cadre d’une charte informatique. Cette charte peut être intégrée à l’avenant au contrat de travail autorisant le télétravail.

La charte informatique devra inclure une information relative à la sécurité des connexions WIFI, sur les e-mails malveillants (phishing), sur l’introduction d’une procédure de contrôle lors de la réception d’un nouvel IBAN qui pourrait relever d’une arnaque aux faux virements. Les entreprises devront au minimum faire installer sur les ordinateurs un pare-feu, un antivirus, un outil de blocage de l’accès aux sites malveillants ainsi qu’un VPN. Les entreprises devront se montrer particulièrement prudentes car si elles mettent en place des mécanismes automatisés elles engagent leur responsabilité civile de plein droit, c’est-à-dire sans faute de leur part, et pourraient également se voir sanctionnées par la CNIL pour violation du RGPD.

La charte informatique devrait viser à préserver la vie privée des membres de l’entreprise. Il est en effet important d’informer sur les bons usages de la visioconférence et de la webcam (notamment installer un cache sur la caméra lorsqu’elle n’est pas utilisée) afin de s’assurer que des pirates ne s’infiltrent pas sur les réseaux pour filmer et enregistrer les utilisateurs. L’échange de contenus présentant un caractère compromettant devrait également être interdit. Pour rappel, dans l’hypothèse où une personne est filmée à son insu, cette utilisation de son image est sanctionnée par le droit pénal et le droit civil. A l’inverse, si la personne était d’accord pour que son image soit enregistrée, une action pénale ne pourra pas prospérer. La victime ne pourra que saisir le juge au civil si l’image a outrepassé le public initialement visé. On ne saurait trop se prémunir contre les pressions à la photo volée qui se développent depuis plusieurs années.

II) La mise en place de mesures de protection

L’Agence nationale de la sécurité des systèmes d’information (ANSSI) a édité un guide d’hygiène informatique contenant 42 mesures que les entreprises en télétravail devraient suivre. La majorité de ces mesures ne coûte rien si ce n’est un peu de temps mais assure grandement la résilience face aux attaques informatiques. Ces mesures peuvent constituer un bon indice de la conformité des mesures organisationnelles prises par l’entreprise pour le respect du RGPD.

Il est ainsi conseillé de procéder à des sauvegardes de données. La sauvegarde des données doit être cloisonnée et protégée par des mesures techniques propres à protéger le réseau informatique. Cela implique notamment de mettre à jour sans attendre les logiciels utilisés sur les terminaux informatiques. A défaut, l’entreprise pourrait voir sa responsabilité engagée pour violation du RGPD en cas de fuite des données.

Les interfaces numériques des salariés doivent être protégées conformément au RGPD. A ce titre, il est nécessaire de prévoir des moyens de chiffrement des postes nomades et des supports de stockage mobiles en optant par exemple pour le chiffrement du disque dur, le chiffrement fichier par fichier, la création de conteneurs chiffrés. En outre, les smartphones devraient être verrouillés et avoir un code secret pour être déverrouillés.

En tout état de cause, les données ne pourront être stockées sur un système de cloud qu’après une lecture précise et attentive des conditions générales de vente. Il est préférable de stocker les données dans un pays soumis au RGPD et donc à un Etat de l’Union Européenne.

Conclusion :

Les mesures que les entreprises doivent mettre en place relèvent simplement de la bonne hygiène informatique. Le législateur a certes visé à protéger les éventuelles victimes des failles de sécurité informatique, mais la mise en place des mesures de protection permettra également aux entreprises de se protéger dans le temps.

De nombreuses sociétés sont placées en liquidation judiciaire dans le délai de deux ans suivant une attaque informatique. Concrètement, eu égard aux enjeux, les mesures de sécurité informatique s’avèrent extrêmement rentables et permettent de rassurer des clients désormais inquiets des cyberattaques.