Quelles mesures préventives mettre en place ?

La première des actions préventives consiste à renforcer la résilience opérationnelle du cabinet qui devra réfléchir, au travers de son Plan de Continuité d’Activité (PCA), aux mesures nécessaires à mettre en place en cas de survenance d’un cyber-risque. Combien de salariés de cabinets, pris de panique, ont aggravé la situation au seul motif qu’aucune ligne de conduite n’avait été dictée par leurs employeurs ?

Le cabinet doit également penser à protéger[1] ses marques, ses logos mais également tous ses noms de domaine. Cette action, effectuée par la création d’alertes automatiques, va protéger le cabinet de toute concurrence déloyale et lui permettre d’agir à l’encontre de tout tiers qui aurait la tentation d’usurper son identité.

Parallèlement, le cabinet devra se rapprocher le plus tôt possible de son assureur responsabilité civile afin de valider avec lui l’ensemble des garanties et exclusions qui ont trait à sa cyber-assurance.

Au quotidien, différentes précautions doivent être prises :

- l’utilisation et la mise à jour d’un antivirus ou les mises à jour de sécurité régulières sur tous ses équipements informatiques,

- l’utilisation de mots de passe complexes et différents pour chaque site ou application, voire d’une solution permettant de stocker et de sécuriser ses mots de passe de type Keypass,

- la différenciation des messageries personnelle et professionnelle. Pour le stockage des documents clients, il est toujours préférable de recourir à des solutions destinées aux professionnels. Le cabinet prendra garde également à l’utilisation d’outils non connus ou non maitrisés comme les réseaux Wifi publics (cible privilégiée pour les cyberpirates) ou les supports USB,

- les collaborateurs devront également se montrer vigilants face à certains emails contenant un lien douteux, une syntaxe approximative ou qui comportent des demandes inhabituelles (demande de transmission de données personnelles ou financières sans aucun contact physique ou téléphonique en amont),

- la protection du téléphone mobile avec des codes d’accès et l’installation d’applications uniquement via des sites officiels. Enfin, même si cela peut paraitre évident, l’appareil ne doit jamais être laissé sans surveillance,

- quant aux réseaux sociaux, le cabinet doit vérifier ses paramètres de confidentialité, les connexions à son compte et maîtriser toutes ses publications. Si le compte n’est plus utilisé alors, il est préférable de le supprimer.

Réagir en cas de cyber-attaque ?

Si un cabinet est victime d’une cyber-attaque, les actions qu’il doit entreprendre sont multiples.

Il devra tout d’abord déposer plainte auprès du Procureur de la République[2] et auprès de la plateforme gouvernementale PHAROS[3]. Il est recommandé de ne pas payer les rançons demandées. Dans certains pays, cela peut être assimilé à du financement du terrorisme. Ce point pourrait évoluer en France le Ministère de l’économie et des finances[4] préconisant la couverture assurancielle de ces « ransonware » au dépôt d’une plainte.

Selon la typologie de produit concerné, le cabinet pourra également procéder à un signalement auprès de l’AMF[5]ou auprès de Assurance Banque Epargne Info Service[6] afin que le cas échant le faux conseiller puisse être intégré dans leurs listes noires. Dans l’hypothèse où les données personnelles des clients ont été dérobées, le cabinet aura l’obligation de procéder à une déclaration auprès de la CNIL dans les 72 heures qui suivent l’infraction et informer sans délai tous les clients et les fournisseurs de produits concernés par cette violation. Enfin, il est fortement recommandé de prévoir un message d’alerte signalant la tentative d’escroquerie et l’usurpation d’identité sur le portail internet du cabinet.

Dans les faits, si un mot de passe a été récupéré frauduleusement par un tiers, le cabinet doit impérativement le changer au plus vite ainsi que tous les mots de passe similaires sur tous les sites sur lesquels ils sont utilisés. Si nécessaire, le cabinet prendra le soin de faire opposition auprès de sa banque. Enfin, concernant le vol d’un mot de passe lié à une messagerie, la prudence recommande de vérifier l’enregistrement de ses coordonnées, ainsi que l’envoi de tous les mails durant la période suspecte et de tenir informé tous les contacts de son répertoire.

Si les réseaux sociaux du cabinet sont piratés, il faut alors déconnecter à distance les appareils encore liés à au compte et régler les paramètres de confidentialité qui sont probablement insuffisants.  

Il va sans dire que devant l’ampleur de ce phénomène dans tous les secteurs d’activité, il devient plus qu’urgent que l’Europe se dote d’une réglementation de cyber-défense dissuasive[7].

Pour plus de précisions sur ce sujet :  https://www.cybermalveillance.gouv.fr

[1] www.inpi.fr

[2] www.pre-plainte-en-ligne.gouv.fr

[3] www.internet-signalement.gouv.fr

[4] www.tresor.economie.gouv.fr/Articles/00367730-14c0-4303-95af-eeb6442fb19b/files/8a344142-fcd5-4d21-a3d7-abb0a404087f

[5] www.amf.france.org/fr/demande-de-renseignements

[6] www.abe-infoservice.fr

[7] Projet de règlement DORA » (Digital Operational Resilience Act)