La NCSC aide en cas des cyberincidents

Le Centre national pour la cybersécuritè NCSC lance un formulaire interactif remanié et un nouveau site web.

Rattaché au Département fédéral des finances (DFF), le NCSC est le centre de compétences de la Confédération en matière de cybersécurité et le premier interlocuteur des milieux économiques, des autorités et de la population pour toute question relative à la cybersécurité. Depuis environ un an, il réceptionne les annonces volontaires concernant les cyberincidents, il les analyse et indique la marche à suivre aux émetteurs des annonces. Jusqu’ici, le formulaire d’annonce pouvait être téléchargé sur le site Internet du NCSC.

En répondant à quelques questions, les utilisateurs reçoivent automatiquement de premières indications sur la marche à suivre. En fournissant toutes les informations requises sur l’incident, ils permettent au NCSC de leur prodiguer, si nécessaire, un soutien plus poussé. Ces informations jouent un rôle important, car elles aident le NCSC à identifier rapidement toute tendance dans la survenance de cyberincidents, à établir une évaluation complète de la situation et à prendre les mesures appropriées.

La Site Web a également été remanié. Désormais plus convivial, il permet aux différents groupes de clients d’accéder plus rapidement aux thèmes qui les intéressent, grâce à une répartition entre utilisateurs privés, entreprises et spécialistes informatiques.

Envoi de courriers électroniques contenant des données personnelles

Envoi de courriers électroniques contenant des données personnelles

L'envoi de courriels est devenu une partie intégrante de la vie quotidienne. De nombreux e-mails contiennent des données personnelles, souvent particulièrement sensibles. En règle générale, les courriers électroniques sont transmis en clair. On sait cependant que l'envoi d'un courrier électronique non crypté est moins sûr que l'envoi d'une carte postale car:

  • … un courrier électronique peut être intercepté, lu ou modifié avec peu de connaissances techniques
  • … contrairement à une carte postale, les courriels peuvent être facilement recherchés par mots-clés
  • …l'envoi d'un courriel est moins sûr car les fournisseurs d'accès Internet basés en Suisse sont obligés de conserver les courriels pendant six mois et de les divulguer aux autorités si nécessaire und bei Bedarf den Behör­den bekan­nt zu

Lors de l'envoi de courriers électroniques, les dispositions de la loi sur la protection des données doivent donc être respectées. Il est important de distinguer les données personnelles "ordinaires", les données personnelles particulièrement dignes de protection et les profils de personnalité.

L'expéditeur est responsable du traitement des données à caractère personnel conformément à la réglementation sur la protection des données et doit fournir la preuve du respect des dispositions relatives à la protection des données. Elle est tenue de prendre des mesures organisationnelles et techniques pour protéger les données contre la perte et le vol ainsi que contre l'accès et le traitement non autorisés. Lorsque des données à caractère personnel sont envoyées dans des domaines sensibles, tels que les soins de santé, il s'agit en tout cas de données à caractère personnel particulièrement sensibles, car le simple fait qu'une personne soit cliente de l'organisme concerné est particulièrement sensible.

Par conséquent, les principes suivants s'appliquent à la transmission / l'utilisation du courrier électronique:

  • Il convient d'utiliser le moins possible de données personnelles (économie de données).
  • Toute personne qui traite des données est responsable du traitement licite, approprié et proportionné et du traitement ultérieur correct (par exemple, autorisation d'accès, mise à jour ou suppression).

L'envoi de courriers électroniques par erreur représente un risque considérable. Les adresses doivent être choisies avec soin. Les automatismes ou les "fonctions de confort" doivent être évités si possible.

  • Sur les appareils privés, aucune donnée personnelle ou profil de personnalité particulièrement digne de protection ne doit être traité ou stocké.
  • Tout ce qui est techniquement possible n'est pas non plus autorisé.
  • Les courriers électroniques ne doivent pas contenir d'informations sur les mots de passe, les numéros de compte et/ou de carte de crédit ou d'autres données d'accès telles que l'identification de l'utilisateur.
  • Aucune grande quantité de données ne doit être distribuée/diffusée.
  • Sélectionnez et utilisez uniquement des distributeurs connus.

Les courriers adressés à la personne concernée sont généralement autorisés. Si le bureau reçoit un courrier électronique de la personne concernée, il peut supposer que cette personne a donné son consentement tacite et peut également répondre par courrier électronique. Font exception à cette règle les réponses qui contiennent des données personnelles particulièrement sensibles, telles que des données sur la santé ou des profils de personnalité. Le cryptage est recommandé ici.

Des alternatives à la transmission non cryptée de données personnelles par courrier électronique sont possibles:

  • Utilisation d'un service de courrier crypté, par exemple Seppmail.
  • Dépôt sur un serveur de données, par exemple BrokerWeb (par le lien correspondant dans le message).
  • Cryptage au niveau du document.

Il convient également de noter que l'utilisation des médias sociaux et de la messagerie instantanée, par exemple. Il faut éviter les Whatsapp ou les SMS pour la transmission de données personnelles. Le service postal est recommandé, en particulier pour les données très sensibles.

Cybersécurité

Cybersécurité

Bien avant Corona, une chose était claire pour de nombreux responsables informatiques : la probabilité d'être victime des attaques de plus en plus sophistiquées des cybercriminels augmente de jour en jour. En conséquence, l'éventail de mesures allant de la mise à niveau technique à la formation intensive des employés a été entièrement étudié. Mais il manque encore une pièce du puzzle. Comment limiter les dégâts si le pire scénario se produit réellement ? Traduit avec www.DeepL.com/Translator (version gratuite)

Une variante est la cyberassurance. Le marché propose différents fournisseurs, de sorte que les parties intéressées ont un large choix. Toutefois, toutes les offres ne conviennent pas à tout le monde. Contrairement aux polices spécifiques telles que l'assurance MF, la cyberassurance est une combinaison d'assurance responsabilité civile, d'assurance contre les pertes d'exploitation et d'assurance des données pour les dommages causés à des tiers et à soi-même sous forme de pertes financières.

La cyberassurance est utile pour les entreprises qui travaillent avec des données sensibles et dont les opérations commerciales dépendent de leur disponibilité. Elle couvre ensuite les pertes liées à la cybercriminalité. Il s'agit notamment de la cyberprotection, du risque lié aux données, de la protection des données, du piratage informatique ou de l'assurance des transporteurs de données. Après une attaque par un logiciel malveillant, par exemple, l'assureur paie pour la récupération des données ou couvre les coûts associés à une récupération informatique complète. En outre, les prestataires garantissent une assistance supplémentaire.

Les entreprises ont tout intérêt à examiner de près les différentes clauses contractuelles. Le simple fait de souscrire une police d'assurance, même bon marché, ne signifie pas que toutes les pertes seront compensées d'un seul coup. De nombreux assurés auraient dû l'apprendre par expérience. Il est important de sélectionner à l'avance les éléments appropriés qui doivent réellement être couverts. Plus la couverture requise est importante, plus elle sera chère.

Quiconque croit que ses propres efforts et investissements en matière de sécurité informatique peuvent être réduits se trompe. C'est exactement le contraire qui se produit : les assurés sont contraints d'utiliser l'état actuel des technologies de sécurité. Dans certaines circonstances, cela peut signifier que des investissements doivent être effectués avant la conclusion d'une police.

Pour les entreprises, il n'y a finalement aucun moyen de contourner une évaluation précise des risques. Tout ce qui est humainement possible a-t-il été fait sur le plan technique ? Les employés sont-ils formés de manière optimale ? Existe-t-il un concept d'urgence solide en matière de sécurité informatique ? Plus la réponse est souvent "oui", plus il est probable que les parties sensibles puissent être couvertes par l'assurance. Sinon, vous devrez mettre la main à la poche pour souscrire une police.

La recherche d'une cyberassurance adaptée s'avère souvent difficile. Cependant, le terme de cyberassurance n'est pas un terme généralement accepté. Comme ce domaine de l'assurance est encore relativement nouveau, aucune désignation uniforme et légalement réglementée n'a encore vu le jour. Ainsi, l'étendue de la couverture diffère considérablement d'un assureur à l'autre.

Les entreprises ont l'embarras du choix, qu'il s'agisse de grands ensembles complets, de systèmes modulaires ou de couvertures de base étroitement définies. Les conséquences peuvent être graves plus tard, lorsque les prestations sont appelées. L'Association suisse d'assurances SVV propose le test rapide de cybersécurité en complément. Il s'agit de déterminer si les mesures techniques, organisationnelles et liées au personnel visant à protéger les PME contre les cyberrisques sont suffisantes.

La sécurité informatique est une priorité absolue au WMC

Le Centre national de sécurité informatique (CNSI) rapporte que les menaces provenant d'Internet ont augmenté massivement depuis la pandémie de Corona.

WMC se concentre sur la sécurité informatique depuis des années et soutient ses clients avec des solutions de sécurité. Ceci s'applique également à la protection des données BrokerStar hébergées par WMC. En raison de cette évolution, les mesures ont été massivement étendues au cours des derniers mois. En outre, l'ensemble de l'infrastructure informatique fait l'objet d'un audit permanent par un cabinet d'audit agréé.

À partir de 2021, un certificat d'audit individuel sera également délivré aux clients intéressés. Cela sert d'identification pour vos clients et pour la conformité dans le cadre du système de contrôle interne (SCI).

Si vous êtes intéressé par le certificat d'audit, veuillez contacter hotline@wmc.ch