L’archivage électronique : le pilier méconnu de la cybersécurité
Dans son dernier rapport annuel sur la cybersécurité, le cabinet d’audit et de conseil PwC rappelle que plus de 4500 incidents sont identifiés chaque année et affectent les entreprises françaises, soit plus de 12 incidents chaque jour.
Les incidents de cybersécurité sont presque devenus la norme et font régulièrement la une de l’actualité. Si les particuliers trinquent, les entreprises payent aussi un lourd tribut. Dans son rapport annuel sur la cybersécurité (The Global State of Information Security Survey), le cabinet d’audit et de conseil PwC rappelle que plus de 4500 incidents sont identifiés chaque année et affectent les entreprises françaises, soit plus de 12 incidents chaque jour (sans compter ceux non signalés).
Le monde change et les cyberattaques font désormais partie du quotidien. Et parmi l’arsenal technologique utile pour s’en protéger, le système d’archivage électronique figure en bonne position, car il est quasiment impossible d'effacer, d’ajouter ou de dérober des documents stockés au sein d’un système d'archivage électronique conforme aux normes en vigueur. Ces systèmes assurent la sécurité et l'intégrité des documents à long terme en utilisant des procédés cryptographiques évolués et leurs outils et processus font également l’objet d’audits périodiques très détaillés par des prestataires externes qualifiés à cette fin par les autorités.
2 000 milliards d’euros de pertes d’ici 2020Le cabinet insiste également sur le fait qu’à peine plus d’une entreprise sur trois se dit confiante dans sa capacité à identifier les sources de cyberattaques. Sans parler de l’impact financier élevé de ces cybermenaces et les risques opérationnels associés. Pour la France, les pertes subies sont, cette année encore, en hausse de 50 % par rapport à 2017 et sont évaluées à 2,25 millions d’euros en moyenne pour les entreprises hexagonales. Et les prévisions au niveau mondial ne sont pas plus rassurantes, puisque selon une étude du Forum Économique Mondial, les cyberattaques pourraient engendrer des pertes économiques allant jusqu’à 2 000 milliards d’euros d’ici 2020. L’environnement des entreprises est de plus en plus exposé aux cybermenaces et les attaques réseau se multiplient également.Preuve que toutes les institutions sont visées - et pas uniquement les banques, les géants du e-commerce et les réseaux sociaux - début décembre, des cyberattaques ont ciblé plusieurs sites web institutionnels, dont ceux de l'Urssaf, du Ministère de la Justice, de l'Université Paris-Sud, de l'Université de Lorraine et de la fondation franco-américaine. La méthode utilisée était celle du déni de service distribué (DDoS), qui consiste à surcharger le trafic de connexions simultanées vers un même site pour le faire crasher et ainsi, le rendre inaccessible. Et ce n’est pas fini, puisque le Ministère des Affaires étrangères a fait l’objet d’une intrusion avec vol massif de données de plusieurs dizaines de milliers citoyens et les sites de plusieurs grands groupes (Carrefour, Total, EDF, Orange, La Française des Jeux, TF1 et BFM.TV) et de la Police Nationale sont désormais dans le collimateur de certains “hacktivistes”.
Ransomwares : payer pour déchiffrerSi dans ces derniers cas, l’ambition des hackers est de paralyser les activités de l’Etat et des grandes entreprises françaises, avec les ransomwares, l’objectif est clairement financier. On les pensait en sommeil, mais avec des intrusions identifiées chez Boeing, la ville d’Atlanta et le service des urgences de l’hôpital de Baltimore, il apparaît que ces ransomwares sont toujours actifs. Et efficaces, puisqu’en moyenne les entreprises touchées ont versé 38 900 euros de rançon dans le monde et 31 500 euros en moyenne en France. La France est, en effet, loin d'être épargnée comme le souligne une récente étude Vanson Bourne. “Si dans 53 % des cas, l’attaque la plus réussie a permis aux attaquants de chiffrer des fichiers, cela s’est révélé sans conséquence pour l’organisation, soit parce qu’elle disposait de sauvegardes pour remplacer les données corrompues, soit parce qu’elle a été en mesure de déchiffrer les fichiers” indique l’étude. Reste que 7 % des victimes n’ont pas trouvé de solution pour récupérer leurs données et que 3 % ont préféré payer la rançon pour pouvoir les déchiffrer.
La sécurité dépasse aujourd’hui les murs de l’entrepriseAuparavant, lorsqu’une organisation évaluait les menaces, les cybermenaces étaient rarement prises en compte. Aujourd’hui, à l’heure où le volume de données et les transactions numériques explosent, le risque de cyberattaques est largement amplifié. Sans compter qu’avec le cloud, ces données sont désormais accessibles depuis n’importe quel point du globe. La sécurité des transactions et des données critiques dépasse donc largement les murs de l’entreprise. PwC estime d’ailleurs que 70 % des organisations ont défini ou sont en train de définir une stratégie de prévention. Preuve que la cybersécurité n’est plus une question que les organisations prennent à la légère.
Le SAE comme rempartIn fine, c’est tout le savoir, mais également le « patrimoine informationnel » au sens large de l’entreprise qui se trouvent ainsi menacés : les documents relatifs aux savoirs-faires, aux processus métier, aux procédures mais aussi les documents de gestion servant de justificatifs administratifs à produire en cas de contrôle et enfin les documents contractuels clients/fournisseurs/partenaires qui constituent des pièces à produire en cas de contentieux commercial ou judiciaire afin de faire valoir ses droits. Ces documents doivent pourtant être protégés, des cybermenaces certes, mais aussi des malveillances ou maladresses internes. Trop souvent, ces documents sont stockés au sein de l’organisation et sauvegardés sur des serveurs ou des disques durs non sécurisés, qui sont presque en accès libre pour les employés et s’avèrent relativement faciles à pirater. Cependant, la législation européenne est claire à ce sujet. Les documents de gestion de l'entreprise sont soumis à des obligations d'archivage et ne sont légalement admissibles, en cas de contrôle administratif ou de procédures contentieuses, que s'ils sont archivés dans des conditions garantissant le maintien de leur intégrité. Il est donc nécessaire de veiller à ce qu’ils ne puissent pas être modifiés, volontairement ou accidentellement, pendant toute la période couverte par les obligations de conservation.
Se tourner vers un prestataire certifiéAfin de faire face à ces risques non seulement financiers mais aussi opérationnels, tous ces documents doivent être mis à l’abri et le meilleur endroit pour cela est certainement le SAE (Système d’Archivage Electronique), à condition de faire appel à un service ou à un prestataire certifié. Il existe, en effet, des prestataires de confiance spécialisés dans ce domaine qui possèdent des équipes formées et les certifications ad hoc. Il existe un certain nombre d'autorisations, de normes, de certifications et de qualifications indispensables. Notamment, la certification ISO 27001 (pour les systèmes de management de la sécurité informatique), la NF 461, pour la conformité aux normes Afnor NF Z42-013 et ISO 14641-1 (relatives aux systèmes d'archivage électronique à valeur probante), ou encore le label France Cybersécurité, les qualifications eIDAS ou enfin la certification HDS (pour les données de santé à caractère personnel). Une protection adéquate exige, en effet, le respect de ces normes mais aussi des compétences spécifiques (qu’il convient de maintenir à niveau très régulièrement – une base semestrielle est nécessaire - car les cybermenaces évoluent très rapidement) et des ressources financières, techniques et humaines qui ne sont pas toujours disponibles dans toutes les organisations. L'externalisation auprès d'un prestataire spécialisé dans l’archivage électronique peut donc clairement aider les entreprises, car celui-ci concentre ses moyens sur ce sujet.
Faire face à tous les cas de figureL'archivage électronique constitue, en effet, une solution avantageuse pour prévenir les cyberattaques. Les organisations qui soudain n'ont plus accès aux documents archivés se retrouvent exposées à des risques administratifs, en ce sens qu'elles ne pourront pas se défendre en cas de contrôle mais aussi juridiques en cas de litige, ce qui peut avoir des conséquences financières directes ou indirectes lourdes et faire courir des risques pénaux aux dirigeants. D’autant plus que les motivations des hackers et les techniques de piratage sont évolutives et diverses. Certains peuvent, par exemple, prévoir de dérober un document important pour empêcher son utilisation dans le cadre d'un litige, espionner un concurrent en subtilisant des documents commerciaux sensibles ou en freinant son activité commerciale, en remettant en cause sa capacité à démontrer sa conformité, ou son savoir-faire ou même nuire à son image en publiant de faux documents.
Un rôle accru de protection
Le rôle du prestataire de services dans le processus d'archivage est de protéger les actifs informationnels et stratégiques de l’organisation, y compris des malveillances (intentionnelles ou non) des collaborateurs. En confiant l’archivage de ces documents à un prestataire certifié, ces organisations garantissent la préservation de leur valeur probante. Elles ne pourront pas être suspectées de les avoir manipulés et éviteront, par ailleurs, les désagréments liés aux défaillances des systèmes IT et à l'obsolescence technologique, tout en suivant le rythme des évolutions juridiques et normatives. Enfin, seuls les employés accrédités auront accès aux données conservées, les actions importantes faisant l’objet de validations à plusieurs niveaux et toutes les interventions seront enregistrées et tracées dans des journaux dont la sécurité et l’intégrité sont également garanties.
Moralité : l’archivage électronique est aujourd’hui devenu une composante “cyber” majeure des organisations.