Étiquette : Sécurisation des échanges
1 – Prévention, sensibilisation et formation : le trio gagnant
La prévention est clé dans la lutte contre les cyber-risques. Première porte d’entrée vers vos données sensibles, les salariés doivent être en mesure d’en comprendre les enjeux et d’appliquer les mesures préventives. Or, le facteur humain reste le chainon manquant dans les dispositifs de cybersécurité, la très grande majorité des attaques surfant sur les erreurs humaines.
La culture de la cybersécurité doit donc être diffusée à tous les échelons de l’entreprise. De la direction générale aux équipes terrains, chacun a son rôle à jouer.
Pour sensibiliser vos collaborateurs efficacement, il est nécessaire de programmer des sessions régulières. Présentiel, e-learning, formats hybrides, serious games… Optez pour la solution qui convient le mieux à votre culture d’entreprise et votre organisation, tout en misant sur l’interactivité, car elle favorise l’apprentissage.
Il est aussi recommandé de tester régulièrement les compétences acquises. Parmi les bonnes pratiques observées : les tests grandeur nature avec des faux emails de phishing envoyés aux collaborateurs. Une bonne façon d’évaluer l’efficacité de vos dispositifs de formation et d’introduire une nouvelle session en motivant les salariés tombés dans le piège !
Et n’oubliez pas que c’est un sujet mouvant : actualisez continuellement vos contenus et dispositifs.
En matière de contenu des formations en cybersécurité, certains sujets de prévention sont essentiels :
- Informez les équipes sur l’enjeu de la protection des données personnelles et sensibilisez-les sur le fait de ne pas mettre sur le réseau des dossiers avec des données personnelles sans sécurité (mot de passe, etc.) et de faire preuve de prudence en termes de partage de fichier sur des outils tels qu’Office 365 ou Google Doc. Les liens circulent, en interne et en externe, ce qui requiert de porter une grande attention à la gestion des droits d’accès…
- Sensibilisez vos collaborateurs sur le fait de ne pas faire transiter des informations sensibles sans chiffrer ces informations. Lorsqu’un email est envoyé, il circule en « clair » sur Internet en passant par de multiples relais et peut facilement être intercepté.
- Conseillez à vos collaborateurs de contacter par un autre canal de communication que l’email un interlocuteur en cas de doute sur un email reçu… par exemple une demande de virement urgent auprès d’un fournisseur. Dans ce cas, il est recommandé d’appeler directement le fournisseur au numéro utilisé habituellement.
- Et surtout, recommandez à l’ensemble des collaborateurs de contacter le service cybersécurité au moindre doute.
2 – Une politique de sécurité renforcée
Élaborez des politiques claires et adoptez une approche systématique d’évaluation des menaces. Pour cela, définissez les responsabilités de chacun en matière de cybersécurité.
L’un des enjeux clés réside dans une collaboration efficace entre le RSSI, le directeur cybersécurité et le COMEX. Bonne nouvelle : les directions générales apparaissent de plus en plus conscientes de l’importance de la cybersécurité et n’hésitent pas à investir des moyens conséquents. Reste néanmoins à impliquer davantage le COMEX dans les prises de décisions et l’anticipation des crises, car la cybersécurité reste encore perçue comme un sujet purement technique.
Il est par ailleurs essentiel d’intégrer la cybersécurité dans les relations avec les partenaires, fournisseurs et autres tiers : évaluez-les avant de leur accorder l’accès à des données sensibles et établissez des accords contractuels incluant des clauses en la matière.
3 – Une gestion sécurisée des accès
Optez pour des procédés d’authentification robustes. En particulier, assurez-vous que vos collaborateurs utilisent des mots de passe complexes et les changent régulièrement.
Vous pouvez également les inciter à utiliser des coffres-forts numériques.
L’une des recommandations phares consiste à mettre en œuvre une procédure de double authentification ou d’authentification par certificat. Cette dernière permet de sécuriser l’accès à un service en ligne.
Pour plus de précautions, vous pouvez par ailleurs mettre en œuvre le principe du moindre privilège. Ce concept consiste à n’ouvrir que des comptes « utilisateurs » aux salariés afin de limiter l’accès aux données sensibles. Concrètement, les utilisateurs ont des droits d’accès limités en fonction des tâches qu’ils doivent réaliser dans le cadre de leurs missions. Simple mais efficace !
4 – Une protection renforcée des réseaux sociaux
Utilisez un pare-feu et des outils de détection d’intrusion, à mettre à jour continuellement.
Le logiciel pare-feu agit comme un rempart numérique. Le trafic est surveillé et tout accès non autorisé est bloqué.
Par ailleurs, il est important d’avoir à l’esprit que les Wi-Fi publics présentent des risques majeurs en matière de cybersécurité. Par nature ouverts à tous, ils sont plus vulnérables aux attaques des pirates informatiques. Pour contrer cette menace, le plus simple reste d’éviter de se connecter aux Wi-Fi publics. Les collaborateurs doivent alors être explicitement mis au courant de cette mesure. Dans le cas où vous ne souhaiteriez pas l’interdire, il est conseillé de déployer des pratiques de sécurité renforcées : utilisation d’un réseau privé virtuel (VPN), désactivation des fonctionnalités de partage automatiques… Des mesures essentielles pour garantir la confidentialité des données.
Votre site web peut lui aussi être ciblé par des cyberattaques, devenant ainsi une menace pour les visiteurs. Afin de garantir l’authenticité de votre site et ainsi sécuriser les échanges avec vos visiteurs, nous recommandons de sécuriser les flux via un protocole SSL (Secure Socket Layer) ou TLS (Transport Layer Security). Cette technologie permet un chiffrement des données et garantit la sécurité des flux. À cet égard, le certificat SSL représente une bonne façon de créer un climat de confiance et de favoriser votre référencement.
Pour sécuriser les échanges, nous vous recommandons également de déployer des dispositifs de protection des données par authentification. Véritable carte d’identité électronique, un certificat pour personne physique permet de sécuriser l’authentification.
En parallèle, nous vous recommandons d’effectuer des sauvegardes régulières sur des supports distincts de votre système d’information. C’est une mesure préventive essentielle pour assurer la continuité de vos activités en cas de cyberattaque, erreur humaine ou panne matérielle. En cas d’incident, vous serez alors en mesure de restaurer les données facilement.
Sensibiliser vos collaborateurs, renforcer vos politiques internes, optimiser la sécurité des accès et des réseaux sont autant de pratiques essentielles dans la mise en œuvre d’une approche proactive de la cybersécurité. Il est par ailleurs important de rappeler que la cybersécurité doit être l’affaire de tous. La robustesse d’un dispositif de sécurité informatique réside dans la capacité de l’ensemble des collaborateurs à prendre en main ces sujets afin d’être en mesure de sécuriser toutes les étapes et interactions. Alors cassons les silos pour faire preuve de résilience face aux cyber menaces !
Plus de 25 ans après sa création au Japon, le QR Code connaît un retour en grâce favorisé par les certificats de tests et de vaccination contre le Covid-19. Le pass sanitaire étant pour l’heure nécessaire afin de profiter de nombreux services, présenter (ou scanner) un QR Code est désormais devenu une habitude. Avant leur homogénéisation au niveau européen, les certificats de tests et de vaccination français ne présentaient pas un QR Code, mais un 2D-Doc. Ce code-barres bidimensionnel a été créé en 2013 par l’Agence nationale des titres sécurisés (ANTS)[1] pour fiabiliser l’échange de données entre l’usager et l’administration.
« Le 2D-Doc comporte une signature infalsifiable des données. Elle permet non seulement de vérifier l’intégrité de ces dernières, mais également d’identifier l’émetteur et signataire du document, rappelle Pascal Merlin, Business Unit Manager chez Certigna. À l’inverse, si la signature ne peut être vérifiée (données falsifiées, émetteur non référencé auprès de l’ANTS, date de signature postérieure à la date de fin de validité du certificat, etc.) l’application de lecture affiche un message d’erreur et n’affiche pas les données présentes dans le code. » Loin de leurs débuts dans le domaine industriel, les codes 2D connaissent plusieurs utilisations grand public, à l’image des cinq cas d’usage décryptés ci-dessous.
1. Les justificatifs de domicile
Pour lutter contre les fraudes et l’usurpation d’identité, il est essentiel de sécuriser les justificatifs de domicile (justificatifs de contrats de fournisseurs d’énergie, avis de taxe d’habitation) exigés lors des démarches administratives. La sécurisation de ces justificatifs est d’ailleurs à l’origine de la création du dispositif 2D-Doc. En 2008, d’après l’ANTS, près de 50 % des dossiers d’usurpation d’identité traités par le ministère de l’Intérieur contenaient une fausse facture de fournisseur d’énergie ou de téléphone[2].
La solution 2D-Doc permet d’authentifier un document sécurisé en détectant toute modification de ses informations. Cet enjeu de sécurisation est une priorité des pouvoirs publics. La généralisation de la facturation électronique entre 2024 et 2026 visera notamment à « améliorer la détection de la fraude, au bénéfice des opérateurs économiques de bonne foi », selon le ministère de l’Économie et des Finances[3].
2. Les documents officiels, comme la nouvelle carte d’identité
Lancée cet été sur tout le territoire français, la nouvelle carte nationale d’identité est dotée, à son verso, d’un cachet électronique visible sous forme de 2D-Doc. Il contient les informations suivantes : nom et prénom, sexe, nationalité, lieu de naissance, type de document, numéro du titre et date de délivrance.
Ces informations sont scellées par une signature électronique de l’État français, qui garantit l’identification de l’organisme émetteur et l’intégrité des données, évitant le risque de falsification. « Cette mise en œuvre permettra au grand public de découvrir la différence entre un simple QR Code non signé généré par tout un chacun en 10 secondes et un 2D-Doc infalsifiable à ce jour » prédisait l’ANTS dans son rapport d’activité 2020. D’autres documents officiels reposent également sur l’usage du 2D-Doc, parmi lesquels la Carte Mobilité Inclusion, les vignettes Crit’Air, les courriers de retrait de points du permis du conduire, le macaron pour chauffeur VTC, les certificats de décès, des actes d’huissier, etc…
3. Les ressources humaines, via les fiches de paie
Certains employeurs, à l’image du ministère de l’Éducation Nationale, ont d’ores et déjà instauré un 2D-Doc sur les bulletins de salaire de leur personnel. Sur une fiche de paye, ce 2D-Doc encode les données essentielles (prénom, nom, salaire brut et net, etc.). Parmi les débouchés possibles d’une telle sécurisation, Pascal Merlin évoque « un moyen utile pour limiter les fraudes dans les dossiers de location immobilière ».
4. Le secteur bancaire
Le relevé d’identité bancaire (RIB) et le relevé d’identité SEPAmail font depuis longtemps partie des documents permettant l’intégration d’un 2D-Doc. La communauté bancaire n’a toutefois pas largement adopté cette solution, alors que certaines escroqueries restent basées sur l’usage de faux RIB. Une adoption généralisée permettrait certainement de les limiter.
5. Traçabilité des produits
Face à la vigilance croissante des consommateurs sur la qualité des produits, des entreprises optent déjà pour la transparence via le 2D-Doc, permettant d’accéder à la liste complète des ingrédients, leur provenance, les contrôles qualité effectués, etc. Tandis qu’un QR Code est souvent présenté sur l’emballage du produit, au risque de perdre les informations une fois l’emballage retiré, le 2D-doc peut directement être appliqué au produit grâce à sa dimension réduite. Compte tenu de la possibilité de reproduire un 2D-Doc, une traçabilité fiable nécessiterait toutefois de combiner le code avec une technologie moins imitable, en intégrant par exemple un hologramme.
En huit ans d’existence, le dispositif 2D-doc s’est progressivement imposé en tant que solution de la lutte anti-fraude. Initialement conçue pour sécuriser des justificatifs et simplifier les démarches administratives, cette innovation dépasse désormais son cadre régalien et laisse entrevoir de prometteurs usages dans le domaine commercial privé.
Pour en savoir plus sur le 2D-Doc, rendez-vous sur notre site : www.certigna.com/mes-documents-imprimes/
[1] 2D-Doc, Agence nationale des titres sécurisés, 01/10/2021. URL : https://ants.gouv.fr/Les-solutions/2D-Doc.
[2] « Spécifications techniques des Codes à Barres 2D-Doc », Agence nationale des titres sécurisés, 02/08/2021.URL : https://ants.gouv.fr/Les-solutions/2D-Doc
[3] « Généralisation de la facturation électronique entre assujettis et transmission d’informations à l’administration fiscale : l’ordonnance a été publiée », Communiqué de presse, ministère de l’Économie et des Finances, 16/09/2021.
La cybersécurité est un sujet stratégique pour l’ensemble des entreprises et administrations qui déploient une énergie considérable pour mettre en œuvre des dispositifs afin de se protéger efficacement. Dans ce contexte, la cybersécurité revêt différents visages en fonction du sujet qu’elle aborde. Dans notre cas, nous allons nous concentrer sur les documents et échanges électroniques, en évoquant trois briques fondamentales qui sont le certificat numérique personnel, l’horodatage et le certificat SSL/TLS.
Le certificat numérique RGS ou eIDAS pour s’identifier sur le web de façon sécurisée
Ce certificat personnel est une réelle carte d’identité numérique universelle. Ce certificat permet de signer éléctroniquement des documents et des contrats en attribuant à cette signature une valeur légale.
L’horodatage qualifié pour garantir l’intégrité et la preuve d’antériorité d’un document
Pour un document numérique, l’horodatage qualifié permet d’apposer une date fiable sur un fichier. Il permet également de vérifier l’intégrité de ce fichier. Ainsi toute altération volontaire ou involontaire de ce fichier sera détectée.
Pour un document numérique, l’horodatage qualifié permet d’apposer une date fiable sur un fichier. Il permet également de vérifier l’intégrité de ce fichier. Ainsi toute altération volontaire ou involontaire de ce fichier sera détectée.
Cette notion de date certaine est importante dans le cadre de la signature de contrat, de la réception d’un pli sous forme électronique, de la certification des transactions bancaires ou de l’émission de factures.
Le certificat SSL/TLS normé pour authentifier un site et sécuriser les échanges avec ce site
Ce certificat permet à un site internet de passer de HTTP à HTTPS. Avec cette technologie, l’internaute peut vérifier l’authenticité du site et rendre confidentielles les données échangées avec le site, telles que des mots de passe ou des données bancaires.
En cliquant sur un lien situé dans la barre d’adresse (en général ce lien est un cadenas), l’internaute accède à des informations primordiales comme le nom du propriétaire du site, l’Autorité de Certification et les dates de validité du certificat.
Depuis quelques mois, les grands moteurs de recherche tels que Google privilégient le référencement des sites qui sont en HTTPS garantissant ainsi aux internautes une meilleure protection contre le phishing ou les sites frauduleux. Les trois technologies exposées ci-dessus sont à mettre en œuvre dans une démarche de sécurisation de vos documents et de vos échanges électroniques. Encouragés par les pouvoirs publics, voire rendus obligatoires dans certains cas, ces procédés vont continuer de se développer à grande échelle et ce, notamment grâce à l’émergence de nombreux nouveaux usages.
Une recommandation : faire l’acquisition de cers solutions auprès de Tiers de Confiance agréés au niveau français ou européen.
Pour en savoir plus sur les solutions Certigna, contactez-nous.
