©CP/Radio1

Une convention entre l’Union des Data Protection Officers – Pacific et le Bureau Véritas permet de suivre une formation et d’obtenir une certification aux « métiers RGPD », pour organiser et maîtriser la protection des données de son entreprise face à la cybercriminalité montante.  

C’est une première en Polynésie : une formation aux métiers RGPD – Data Protection Officer, référent RH, Cyber, Marketing Cookies, PIA – est désormais accessible grâce à la convention signée mercredi entre l’Union des Data Protection Officers – Pacific et le Bureau Véritas, prolongement local d’un partenariat établi en métropole depuis 2017.

La conformité au Règlement général sur la Protection des Données (RGPD) est une bonne pratique déterminante pour la prévention individuelle et collective contre le risque cyber : en sécurisant les données, le RGPD renforce la protection de l’ensemble des acteurs.

Une soixantaine de participants étaient présents mercredi soir pour entendre les experts exprimer avec force la nécessité d’agir et rappeler la devise : « la faille est entre la chaise et l’écran » – autrement dit, c’est l’erreur humaine qui est toujours à l’origine des brèches dans les systèmes informatiques. Protéger les données de son entreprise, c’est protéger son gagne-pain, ses collaborateurs, ses clients.

©CP/Radio1

Facebook, plaque tournante des escrocs

C’est d’abord l’adjudant-chef Pascal Aznar, enquêteur au sein de la section opérationnelle de lutte contre les cybermenaces de la gendarmerie, qui a pris la parole. Sa section a relevé 236 faits de cybercriminalité en Polynésie l’an dernier, auxquels s’ajoutent ceux traités par la police. « C’est à peine 3,2% de la délinquance, mais tous les domaines sont touchés, dit-il, et le risque zéro n’existe pas ». Et c’est sur Facebook que la quasi-totalité des escroqueries dont sont victimes les Polynésiens se mettent en place. Pascal Aznar les divise en plusieurs catégories : les arnaques à la cryptomonnaie, qui commencent à se multiplier, mais surtout les faux prêts bancaires, les fausses ventes, et le dénigrement.

Pour y mettre fin, un seul moyen, porter plainte, puisque les enquêteurs ne peuvent agir qu’à partir de là. Et ce n’est qu’après une décision judiciaire que les autorités peuvent demander aux réseaux sociaux de fermer les comptes des arnaqueurs. Dans le meilleur des cas, cela peut prendre un mois.  Largement le temps pour les escrocs de fermer leurs comptes et d’en recréer d’autres. « Il faut comprendre que c’est le monde entier qui leur fait des réquisitions, mais on sait bien que leur priorité reste américaine avant les demandes des autres pays », dit Patrick Aznar.

Deux jours de formation et deux heures d’examen

Xavier Leclerc est le président fondateur de l’UDPO France, Europe et Pacifique. Il préside The NeoShields, conseil en management du risque informatique et en conformité. En 2001, il avait été le premier Data Protection Officer de France. « C’est un vrai métier, c’est la sécurité juridique, logique et physique des systèmes, dit-il, et nous avons été encouragés par le ministère de l’Économie et des Finances ici en Polynésie. J’espère que l’on va pouvoir structurer tous ces professionnels. » La formation prend deux jours, et l’examen prend deux heures. Le forfait inclut deux tentatives.

Pour les petites et moyennes entreprises aux moyens humains limités, il est possible de travailler avec un DPO externe, qui aura un référent au sein de l’entreprise. C’est ce que Xavier Leclerc a fait pour l’OPH, avant que l’Office ne désigne une DPO interne qui a passé cette certification. Mais, dit-il, « la mutualisation du DPO est possible. Ça ne veut pas dire qu’on perd en confidentialité, mais on met des outils communs en place, comme je l’avais fait en France pour 3 000 notaires. Cela permet aux petites entreprises d’accéder à ce service. »

©CP/Radio1

Ne jamais payer de rançon, et sécuriser ses sauvegardes

Autre expert présent mercredi soir, David Touche, membre fondateur  de l’UDPO Pacific, consultant en cybersécurité et architecture système, réseau et sécurité après avoir œuvré 22 ans au sein du ministère des Armées. Rien ne sert d’investir massivement dans un système informatique s’il n’est pas correctement protégé.

David Touche a mis en garde l’assistance contre les « ransomwares », avec lesquels les criminels prennent les données en otage et demandent des rançons qui peuvent aller jusqu’à 250 millions de Fcfp. Son conseil principal : ne payez pas, portez plainte, et surtout vérifiez vos systèmes de sauvegarde : « Dans 90% de cas les données sont perdues parce que l’entreprise n’avait pas de sauvegarde, ou que la sauvegarde qu’elles pensaient avoir faite n’est pas exploitable. » Car elle peut être ciblée elle aussi – c’est le cas dans plus de 20% des attaques. Les criminels additionnent une moyenne de 25 jours d’intrusion dans les systèmes informatiques. Il faut donc retrouver de quand date l’intrusion pour restaurer une sauvegarde antérieure à l’attaque, plutôt que de risquer de restaurer une sauvegarde plus récente, mais qui risque d’avoir été infectée elle aussi par les pirates. La recommandation de l’expert : séparer son serveur de sauvegarde du réseau principal de l’entreprise.

Des formations sont prévues dès la fin du mois, à consulter sur le site de l’UDPO-Pacific.