Contrats et cybersécurité : les bons réflexes à adopter 

La cybersécurité, on comprend vaguement ce que c’est sans pour autant savoir comment s’y prendre. Beaucoup d’entre nous entendent dire que des entreprises se font pirater, mais tout le monde pense à tort que “ça n’arrive qu’aux autres”.

Angelaw a donc décidé de s’allier à Coralium pour vous informer une bonne fois pour toutes. Notre objectif ? Valoriser deux sujets essentiels que les entreprises ont tendance à bouder : les contrats et la cybersécurité. 

Afin de vous mettre le pied à l’étrier, nous vous promettons une démonstration éloquente, brève et pédagogue. Prêt à protéger votre entreprise et vos contrats ? Alors, c’est parti !

1. Pourquoi la cybersécurité est-elle une priorité pour vos contrats ?

a. Des chiffres inquiétants

Les chiffres, c'est comme les enfants, ça ne ment pas ! Le FIC 2022 nous a permis de glaner des statistiques inquiétantes qui prouvent que les risques cyber sont bel et bien réels : 

• 43% des cyberattaques visent les petites entreprises ;
• 6 mois en moyenne pour qu’une entreprise détecte une violation de données ;
• 58% des attaques sont opportunistes et ne visent pas une entreprise en particulier.

Dire que les attaques sont à votre porte est un doux euphémisme. Que vous soyez une PME ou ETI bien établie, une TPE familiale ou une start-up en plein devenir, les menaces sont là et peuvent endommager votre entreprise.

Pourquoi vos contrats sont les premiers concernés ? Parce qu’ils renferment les données de vos clients, le contenu de vos deals, les échéances, les clauses particulières, etc. Mais pas que : les contrats avec vos fournisseurs, prestataires ou encore vos contrats de travail sont tout simplement la traduction juridique et économique de la vie de votre entreprise.

b. RGPD et cybersécurité

Les questions de cybersécurité ne sont pas un “nice-to-have” ou une démarche secondaire. Si vous êtes sur le territoire français et que vos clients vivent sur le territoire de l’UE, vous êtes soumis au RGPD.

Et alors ? Le RGPD fait de la cybersécurité un devoir pour les entreprises puisque l’enjeu est de protéger les données personnelles que vous gérez au sein de votre structure (clients, salariés, freelances, bref, toute personne avec qui vous contractez).

Voici les obligations de sécurité prévues par la réglementation : 

• mise en place de mesures techniques et organisationnelles pour sécuriser les données ;
• tenue d’un registre des violations de données 
• analyse d’impact (AIPD) pour des traitements sensibles 
• notification à la CNIL lors d’une violation de données 
• information des personnes d’une violation de données 
  

Bref, vous pouvez largement engager votre responsabilité en cas de défaillance et la CNIL possède une baguette magique : un pouvoir de contrôle et de sanction. D’ailleurs, récemment la CNIL a infligé une amende de 1,5 M€ à Dedalus Biologie à cause d’une fuite de données due à un grave problème de sécurité.

2. Les 7 réflexes cybersécurité pour vos contrats

a. Identification des contrats clés pour l’entreprise

Nul besoin d’un dispositif aussi sécurisé que la Banque de France. Avant de vous jeter dans le grand bain de la cybersécurité, rationalisez votre démarche pour être efficace et ne gaspillez pas votre énergie et votre budget ! 

Car oui, la cybersécurité a un coût. Donc, commencez par l’essentiel. Pour cela, faites tout simplement un audit des contrats indispensables au bon fonctionnement de votre entreprise :

• les contrats commerciaux les plus rémunérateurs ;
• les NDA et par la même occasion tous les secrets de fabrication, les informations confidentielles, etc. ;
• les contrats fournisseurs incontournables pour votre entreprise ;
• les contrats de travail et éléments connexes qui comprennent des données à caractère personnel ;
• les partenariats stratégiques, etc.

Bref, vous l’avez compris, tous les contrats ne sont pas au même niveau. Dans un premier temps, inutile de protéger votre devis signé pour la commande de vos trombones de bureau.

Une fois cet état des lieux effectué, inventoriez les supports sur lesquels ils sont stockés : ordinateurs et périphériques (box, imprimantes, etc.), les logiciels, les accès et les connexions avec l’extérieur. Cette cartographie vous permettra d’identifier les facteurs de risques au sein de votre organisation.

b. Formation aux gestes cybers des collaborateurs

Le mot “cyber” évoque dans bien des esprits un aspect et un jargon très technique autour de la sécurité des données. Or, la protection passe également par la vigilance de vos collaborateurs. 

À l’ère du digital, faites en sorte de leur inculquer des notions essentielles comme : 

• la prudence lors du traitement des données personnelles et les obligations RGPD ;
• les risques cyber auxquels ils peuvent être confrontés : ransomware, attaque par hameçonnage, la prise de contrôle des ordinateurs, le vol et recel des données ;
• les bonnes pratiques : adoption de mots de passe sécurisés (lettres, chiffres, caractères spéciaux), séparation des usages personnels et professionnels d’internet, verrouillage de session de travail, vigilance en cas de mail douteux, conserver les logiciels de sécurité comme les antivirus ou les pare-feu, etc.

Les contrats comportent la plupart du temps des données confidentielles et/ou stratégiques pour l’entreprise. Les collaborateurs doivent donc veiller à s’assurer de ne pas compromettre la confidentialité de ces données en amont, lors de la contractualisation, mais également lors de l’exécution du contrat afin de limiter l’accès aux informations aux seuls intéressés. 

Bref, il existe des routines simples à mettre en place. Encore faut-il que les collaborateurs en comprennent l’intérêt et qu’une piqûre de rappel soit faite régulièrement.

c. Maîtriser les règles d’accès aux données contractuelles

Est-ce que le commercial de votre entreprise est à même de connaître les raisons pour lesquelles le CDI de Gilbert ou Rosalie a été aménagé ? La réponse est évidente : non. 

Cloisonner les contrats et les données contractuelles par secteur ou par rôle est donc un palier important pour deux raisons : 

• Le RGPD exige que seules les personnes autorisées aient accès à ces informations. Ceci est valable aussi bien pour les collaborateurs que pour les tiers ;

• La possibilité de réduire les accès à des données diminue logiquement les risques cyber.

d. Se faire accompagner par un cyber expert

La cybersécurité, c’est comme la chirurgie, ça ne s’invente pas. Et si vous n’êtes pas de ce milieu, vos compétences vont vite atteindre leur limite en la matière. Un cyber expert est donc nécessaire pour aller plus loin.

Il pourra auditer vos pratiques, vous recommander et installer les outils adéquats pour votre entreprise. Ainsi, c’est lui qui implémente et teste vos pare-feux, vos sauvegardes, vos mises à jour, vos antivirus, sécurise les messageries et l’hébergement, etc.

Telle est la mission de Coralium, notre partenaire, qui est là pour protéger votre entreprise et pour vous conseiller sur la meilleure politique de cybersécurité à mettre en place en fonction de votre business. Votre expert peut également vous accompagner pour vérifier quels sont les contrats prioritaires, s’assurer de leur niveau de sécurité, réaliser des tests d’intrusion et vérifier la fiabilité de vos partenaires.

e. Surveiller la qualité des prestataires/fournisseurs en matière de cybersécurité

Pour exécuter vos contrats, il est courant que vous fassiez appel à des prestataires ou des fournisseurs. Ici, malheureusement, le danger ne vient pas forcément de vous. Les entreprises n’ont pas le même niveau de maturité en matière de cybersécurité. Encore une fois, vous allez devoir faire preuve de vigilance.

Tout d’abord, le choix de vos sous-traitants est primordial notamment pour vous protéger des attaques supply chain, qui consiste à se servir des systèmes informatiques des prestataires de l’entreprise visée.

Pour protéger votre entreprise, le RGPD vous prodigue d’ailleurs des recommandations. En tant que responsable de traitement, vous devez sélectionner un sous-traitant qui présente des garanties suffisantes en termes de sécurité. 

La CNIL recommande d’exiger : 

• la communication par le prestataire de sa politique de sécurité des systèmes d’information ;
• d’assurer et de documenter l’effectivité des garanties offertes par le sous-traitant en matière de protection des données.

Enfin, soyez vigilant sur la partie contractuelle. Au stade de la rédaction, il convient de déterminer correctement le statut des cocontractants au sens de l’article 4 du RGPD (qui est responsable de traitement, qui est sous-traitant) et insérer les clauses de l’article 28 du RGPD sur les obligations du sous-traitant en matière de traitement des données.

Concernant la sécurité en elle-même, si vous êtes une scale-up, une grosse PME ou une ETI, il peut être opportun d’inclure dans le cahier des charges des clauses types ainsi qu’un PAS (plan d’assurance sécurité) ou PSSI (plan de sécurité des systèmes d’information), des documents qui présentent les mesures de sécurité des prestataires. 

f. S’assurer

Selon la taille de votre entreprise et les enjeux économiques en cours, souscrire une assurance est vivement conseillée. 

Les assureurs proposent de plus en plus des clauses permettant de se prémunir de certains risques cyber. Classiquement, elle peut vous proposer une couverture financière et/ou une assistance.

Là aussi, soyez vigilant : le diable se cache dans les détails et étudiez bien le périmètre de couverture, les conditions d’intervention, les limites et cas d'exclusion de garantie.

g. Se préparer au pire parce que “ça n’arrive pas qu’aux autres”

Au-delà des actions préventives à mettre en place, soyez préparé à réagir en cas d'attaque. 

En cas d’incident, vous êtes tenus de : 

• informer la CNIL et vos clients ;
• de porter plainte et de faire appel aux policiers ou aux gendarmes ;
• contacter votre assureur.

Coralium vous recommande de vous entraîner afin d’adopter les bons réflexes si cela devait vous arriver. Le conseil clé ? Proactivité et réactivité.