Gestion dématérialisée des données et enjeux de cybersécurité

Quels sont les enjeux actuels de la cybersécurité autour de la gestion des données locatives ?

Dans son rapport annuel 2022, la CNIL rappelle « l’obligation de cybersécurité depuis 1978 à travers la loi Informatique et Libertés, renforcée avec l’entrée en application du RGPD en 2018. Tous les organismes qui traitent des données personnelles doivent mettre en place des mesures pour prévenir les violations de données et réagir de manière appropriée en cas d’incident. »

En 2022, 4088 violations de données ont été remontées à la CNIL et 62.8% de ces dernières sont dues à des attaques externes malveillantes.

La hausse des cyberattaques a commencé en 2018 mais s’est intensifiée depuis la pandémie de Covid-19 avec la normalisation du télétravail couplée à la transformation numérique des entreprises, la dématérialisation des échanges et l’interconnexion des activités.

Dans son « Panorama de la cybermenace en 2022 », l’Agence nationale de la sécurité des systèmes d’information (ANSSI) rapporte un niveau élevé de cybermenaces et répertorie les grandes tendances sur la dernière année. C’est une réalité : les attaques par rançongiciels ont connu « un regain d’activité ». L’ANSSI observe que « cette menace cybercriminelle touche particulièrement les TPE, PME et ETI (40 % des rançongiciels traités ou rapportés à l’ANSSI en 2022), les collectivités territoriales (23 %) et les établissements publics de santé (10 %). » Le constat aujourd’hui est que la vulnérabilité des systèmes d’information, face à des attaquants de plus en plus performants, continue de présenter un risque sérieux pour la sécurisation des données.

La plateforme Cybermalveillance.gouv.fr, créée par l’ANSSI et le ministère de l’Intérieur,  réfère quant à elle l’hameçonnage (ou phishing) comme constituant la menace majeure pour le secteur professionnel - entreprises, associations, collectivités et administrations confondues – suivi par le piratage de compte en ligne et les attaques par rançongiciels.

Pour les experts du service informatique et les DPO, il convient de maintenir les efforts de formation et de sensibilisation aux risques et enjeux de cybersécurité, d’accroitre le niveau de vigilance, et de mettre en œuvre des mesures de cybersécurité adaptées. Cependant, il convient de garder à l’esprit qu’en 2023 toujours, la négligence ou l’erreur humaine est l’une des premières causes de failles de sécurité. « Les violations peuvent survenir après un simple clic sur un lien malveillant présent dans un courrier » rappelle un ingénieur expert au service de l’expertise technologique dans le rapport annuel 2022 de la CNIL.

Quels impacts pour le secteur du logement social ?

Face à des attaquants toujours plus performants, la menace est complexe et en perpétuelle évolution. Déstabilisation (cryptage/divulgation de données et prise de contrôle), rançongiciel, hameçonnage, espionnage … les cyber-risques revêtent de multiples facettes.

Ces risques peuvent avoir des impacts majeurs sur l’activité des bailleurs sociaux, comme par exemple :

• Une perte des données locatives sensibles. Entre les informations sur les locataires, leurs sources de revenus et leurs paiements, les bailleurs sociaux, à travers leur personnel de gestion locative, doivent gérer une grande quantité de données sensibles. Une cyberattaque peut conduire à leur perte ou à leur traitement à des fins malveillantes. Les fichiers des résidents peuvent ainsi disparaitre, rendant la reconstitution des dossiers extrêmement laborieuse.

• Une atteinte à l’image du bailleur social. Les cyberattaques peuvent nuire à la réputation des bailleurs sociaux, notamment si les données de leurs locataires sont compromises, qu’elles ouvrent la porte à l’arrivée massive de spam ou si leurs systèmes sont utilisés pour mener des activités illégales.

• Une interruption de l’activité. Une cyberattaque peut paralyser le système d’information des bailleurs sociaux. La gestion des loyers et des réclamations se retrouve alors complètement stoppée. Sans sauvegardes ni plan de continuité d’activité, une cyberattaque peut même signifier la perte totale de données.

Bailleurs sociaux, comment se protéger contre les cyberattaques ?

Face à la recrudescence des cyberattaques, la sécurité des systèmes d’information est un enjeu majeur et la plus grande vigilance est donc recommandée. Dans un document mis à disposition sur son site web, l’ANSSI préconise la mise en œuvre de 5 mesures préventives prioritaires.

Voici quelques rappels des bonnes pratiques pour renforcer son niveau de sécurité et limiter au maximum les risques.

Sensibiliser l’ensemble de vos collaborateurs

Il est essentiel de sensibiliser tout le personnel de l’organisme y compris celui sur le terrain à travers différentes actions. Mettre en place des campagnes d’affichages dans les bureaux, communiquer via des mails ou des newsletters d’information afin d’alerter sur les dangers des cyberattaques, ou encore réaliser des campagnes de prévention au phishing en simulant une attaque auprès de vos collaborateurs pour évaluer la sensibilité du personnel et mettre en place des actions pour renforcer leur connaissance en la matière.

Instaurer une gouvernance des données locatives

Pour les bailleurs sociaux, tout l’enjeu réside dans la protection des données locatives qui recouvrent, entre autres, l’identification et les coordonnées des locataires, leur situation professionnelle et leurs ressources, des avis d’imposition, des quittances de loyers, des coordonnées bancaires. Comment les protéger lorsqu’elles sont stockées, consultées, partagées ou extraites ? Qui y a accès ? (Attention aux droits trop étendus !) Instaurer une gouvernance de données permet justement d’être au clair sur les responsables du traitement répondant, de fait, aux règles du RGPD.

Prévoir des sauvegardes et un plan de reprise d’activité

Prévoir des sauvegardes de vos données et un plan de reprise d'activité (PRA) est vital pour garantir la continuité de votre activité en cas de cyberattaque car cela vous permettra de garder la main sur vos données. Pour cela, il est impératif de :

• Vérifier quotidiennement les rapports de sauvegarde, les réplications de base à J-1 et les exports de données.
• Externaliser et redonder vos médias de sauvegarde.
• Étendre la rétention avec des sauvegardes mensuelles ou annuelles en plus des sauvegardes externes.
• Effectuer des sauvegardes déconnectées du réseau pouvant aussi être externalisées.
• Intégrer les données et applications du PRA dans votre stratégie de sauvegarde.

Effectuer des simulations de restauration mensuelles permet de tester la capacité de récupération de votre PRA à partir de divers scénarios, garantissant ainsi la survie de votre activité en cas d'attaque.

Mettre à jour les équipements et correctifs de sécurité

Au-delà de la stratégie désormais bien connue du mot de passe fort et de l’authentification à double facteur, soulignons l’importance d’actualiser tous les correctifs et éléments techniques. Il s’agit là de la bonne pratique principale pour prévenir l’exploitation de vulnérabilités par des cybercriminels. Ainsi, il est plus que recommandé de vérifier, mettre à niveau et renforcer la sécurité de vos équipements (VPN, Firewall, messagerie, anti-virus, poste de télémaintenance…) et d’effectuer les mises à jour de vos équipements dès qu'elles sont disponibles pour empêcher toute infiltration dans vos systèmes d'information.

---

La prévention des cyberattaques est déjà un premier pas pour les éviter. Conscient des enjeux de cybersécurité très actuels et de la nécessité de pouvoir poursuivre son activité et reconstruire son système d’information en cas d’incident critique, Aareon propose de vous accompagner dans la mise en place d’un Plan de Reprise d’Activité (PRA). Si vous souhaitez en savoir plus, participez aux webinars prévus à cet effet :