Cybersécurité : votre CSE est-il assez vigilant ?
En contexte de tension internationale, les risques de malveillance numérique sont accrus. L’Agence nationale de la sécurité des systèmes informatiques incite à se montrer vigilant. C’est l’occasion de faire le point sur votre cybersécurité.
La cybersécurité de votre CSE est-elle suffisante ? On n’en a pas toujours conscience au quotidien, mais dès lors qu’un ordinateur est relié à internet, il est une cible potentielle de cyber-attaque. Et il est une évidence qu’aujourd’hui, tout comité économique et social, même parmi les plus petits, utilise ses propres infrastructures informatiques pour réaliser les missions de ses élus, ne serait-ce que pour sa comptabilité, pour communiquer avec les salariés, pour rédiger et stocker les procès-verbaux des réunions plénières, rapports, etc. Autrement dit, vous alimentez vos ordinateurs par nombre de données sensibles, voire confidentielles pour certaines, qu’il convient de protéger.
Recommandations de l’ANSSI
C’est pourquoi il est pertinent de se poser la question des dispositifs mis en place. C’est d’autant plus important actuellement, car le contexte de forte tension internationale, avec ses déclinaisons dans le monde du numérique, accroît les risques en matière de cybersécurité.
C’est ce que rappelle l’Agence nationale de la sécurité des systèmes d’information (ANSSI), qui invite chaque utilisateur à renforcer la protection de ses appareils et de ses données. Pour cela, elle préconise notamment la mise en œuvre de cinq mesures préventives prioritaires et faciles à instaurer :
- renforcer l’authentification sur les systèmes d’information ;
- accroître la supervision de la sécurité ;
- sauvegarder hors-ligne les données et les applications critiques ;
- établir une liste priorisée des services numériques critiques de l’entité ;
- s’assurer de l’existence d’un dispositif de gestion de crise adapté à une cyberattaque.
L’ANSSI explique : « Ces mesures prioritaires de cybersécurité sont essentielles et leur mise en œuvre à court terme permet de limiter la probabilité d’une cyberattaque ainsi que ses potentiels effets. Pour être pleinement efficaces, elles doivent cependant s’inscrire dans une démarche de cybersécurité globale et de long terme. »
La cybersécurité appliquée au CSE
Comment ces pratiques de cybersécurité peuvent-elles se décliner en pratique au sein de votre comité ? Voici ce que nous vous recommandons.
Tout d’abord, apportez une vigilance toute particulière à l’archivage et à la conservation des informations du CSE. Par exemple, il conviendra d’effectuer une sauvegarde régulière des données présentes sur le serveur et de la comptabilité. Inscrivez ces gestes dans vos routines, à intervalles réguliers à décider selon votre utilisation du numérique. Vous les stockerez sur un disque dur externe, à conserver dans le coffre-fort du comité.
C’est un premier niveau de sécurité : en cas d’attaque – ou même de défaillance de votre ordinateur – au moins vous n’aurez pas perdu l’essentiel de vos données. Mais si vous n’avez pas d’autre protection, vous courez le risque que ces données soient récupérées par vos « attaquants ». Ce n’est donc pas suffisant.
Afin de prévenir au maximum les intrusions malveillantes, il convient donc de vérifier le niveau de sécurité de votre système d’information. Êtes-vous bien équipé d’un antivirus opérationnel, mis à jour régulièrement, qui vous protège notamment des malwares, spywares, etc. ?
Précaution supplémentaire : renforcez l’authentification pour les postes du CSE et pour les accès en ligne. Cela implique au minimum de choisir des mots de passe complexes mélangeant des lettres majuscules et minuscules, des chiffres et des signes de ponctuation. Autant que possible, ajoutez la mise en place de systèmes de double confirmation, où l’accès nécessite non seulement de connaître le mot de passe, mais aussi de pouvoir confirmer votre identité par un code aléatoire envoyé par SMS ou par courriel.
Pas de risque zéro
Si vous utilisez l’intranet ou d’autres ponts de connexion entre le système du comité et celui de l’entreprise, vous gagnerez aussi à vous rapprocher du service informatique de l’entreprise pour connaître son dispositif de vigilance, sans compter que ce service spécialisé peut éventuellement être de bon conseil pour vous aider à vous protéger.
N’oubliez pas non plus les réflexes les plus simples, comme le geste d’éteindre systématiquement les matériels informatiques ou au minimum de les verrouiller lorsque vous ne les utilisez pas.
Enfin, comme le risque zéro n’existe pas, même dans le monde numérique, autant prévoir qu’il peut vous concerner. Vérifiez que votre contrat d’assurance couvre les cyber-risques, y compris si vous avez externalisé la gestion de certaines activités sociales et culturelles sur des plateformes web.
Et pour consulter les préconisations de l’ANSSI, c’est ici.
Photo Michael Geiger / Unsplash
Plus que jamais en période de tension internationale, les structures utilisant internet doivent se montrer vigilants quant à leur cybersécurité, comme le rappelle l’Agence nationale de la sécurité des systèmes informatiques.
Les CSE étant concernés, nous vous recommandons de :
- sauvegarder régulièrement vos données sur un disque dur externe,
- avoir un antivirus opérationnel et régulièrement mis à jour,
- renforcer l’authentification des accès aux ordinateurs et aux comptes en ligne,
- dialoguer avec le service informatique de l’entreprise,
- éteindre ou verrouiller systématiquement les ordinateurs quand ils ne sont pas utilisés,
- vérifier que votre assurance couvre les cyber-risques.