La sécurité informatique est un enjeu majeur pour de nombreuses entreprises. Avec les évolutions technologiques qui ont eu lieu depuis ces dernières années, notamment avec l’avènement d’internet et la mise en place d’un serveur, on est plus sensible aux cyberattaques.
De même que les grandes entreprises, les PME sont aussi confrontées à cette menace. Peu importe, qu’elles soient ciblées ou non, ces piratages doivent faire l’objet d’une communication efficace et rapide auprès des utilisateurs dès qu’ils sont victimes d’une attaque.
Quelle responsabilité pour les PME en cas de cyberattaque ?
Les petites entreprises sont susceptibles d’être aux proies à deux grands types d’attaques, dont les menaces ciblées se présentant sous la forme de piratage ou de fraude et les attaques non ciblées qui sont généralement diffusées par le biais des ransomwares.
Dans tous les cas, ces enseignes ont l’obligation d’adopter une attitude responsable envers leurs fournisseurs, leurs utilisateurs et leurs clients pour protéger leur image. Comme pour le cas d’une attaque non ciblée (des impacts au niveau du système d’information), la PME pour devoir d’aviser les clients et les consommateurs d’un retard de production ou de livraison, si la remise en état de fonctionnement n’est pas suffisamment rapide. Pour la restauration du système d’information, il est possible de réaliser les travaux en interne ou faire appel à son assureur ou un cabinet spécialisé.
Et face à une attaque ciblée générant un vol de données personnelles, l’entreprise peut ne pas informer ses partenaires ou clients.
Comment réagir face à une menace interne ?
Certaines attaques proviennent de l’intérieur de l’entreprise. En général, celles-ci sont ciblées. Effectivement, grâce à leurs droits d’accès encore actifs, des collaborateurs après avoir quitté la société accèdent à des données professionnelles.
La meilleure solution face à ce genre de situation est de bloquer les droits d’accès après le départ de l’employer. Mais, dès 2018, avec la mise en œuvre du nouveau règlement de l’Union européenne, les entreprises doivent notifier à l’autorité de contrôle, le vol des informations à caractère personnel dans les 72 h qui suivent l’infraction.