1 – Les crèches collectives et/ou associatives sont de plus en plus nombreuses à mettre en place des outils numériques (site Internet, groupe WhatsApp, réseaux sociaux, application, etc.). Si leur utilisation est précieuse dans la communication avec les familles (gestion de planning, photos, agenda, etc.), quels risques comportent-ils ?

« Deux choses intéressent les cybercriminels. La première, c’est d’être un levier de propagande. […] La seconde : tout ce qui peut avoir de la valeur et se monétiser. C’est le cas notamment de la donnée personnelle qu’ils vont revendre. » 

Les risques auxquels peuvent être confrontées les crèches sont exactement les mêmes que pour tout autre utilisateur d’une même technologie. Dès lors que vous utilisez un site Internet ou des réseaux sociaux à titre professionnel, vous êtes soumis potentiellement aux mêmes types de cybermenace que n’importe quel artisan, petite entreprise, petite collectivité.

Deux choses intéressent les cybercriminels. La première, c’est d’être un levier de propagande. On a connu de fortes vagues, notamment durant la période des attentats 2015-2017, où un certain nombre de petits cybercriminels s’attaquaient, par exemple, à des comptes de réseaux sociaux ou à des sites Internet d’entreprises ou d’associations mal sécurisés pour diffuser des messages de propagande pro-Daech. Une crèche est susceptible d’être confrontée à ce risque, elle doit sécuriser son site Internet pour éviter à des parents qui se connectent d’être exposés par exemple à des images violentes. Il y a un risque d’impact sur la réputation de l’établissement.

Seconde chose qui intéresse les cybercriminels : tout ce qui peut avoir de la valeur et se monétiser. C’est le cas notamment de la donnée personnelle qu’ils vont revendre. Par exemple, si sur votre site Internet, vous stockez des informations personnelles sur les parents en leur donnant la possibilité d’inscrire leur enfant via le site. Leurs revenus, leur adresse, leurs avis d’imposition, RIB, bulletins de salaire, documents d’identité peuvent être récupérés par des cybercriminels si le site est mal sécurisé. Celui qui est en possession de tous ces renseignements peut ensuite usurper l’identité du parent, contracter un crédit à la consommation en ligne par exemple, puisqu’il a tous les éléments requis.

Dès lors que vous traitez de la donnée personnelle, vous avez des obligations légales et réglementaires au titre du RGPD (règlement général de la protection des données), qui est un texte européen. En France, c’est la CNIL (Commission nationale de l’informatique et des libertés) qui le fait respecter. Vous avez l’obligation de déclarer à la CNIL que vous traitez de la donnée personnelle et de désigner un DPO – un délégué à la protection des données – qui a la charge de vérifier que les traitements sont bien conformes et que les données personnelles et les mesures de sécurité sont prises. Si vous ne respectez pas ces obligations et que vous avez un incident qui compromet des données personnelles, vous devez en informer la CNIL dans les 72 heures. Vous êtes passible de sanctions parce que vous n’avez pas suffisamment protégé les données personnelles.

Ces sanctions peuvent être des amendes, mais elles peuvent également être pénales si la responsabilité du chef d’établissement est engagée parce qu’il il n’a pas suffisamment protégé les données personnelles. Aujourd’hui, la CNIL, qui a été jusqu’alors conciliante, commence à rappeler à l’ordre un certain nombre de collectivités pour qu’elles se mettent en conformité sous un délai d’un mois, sous peine de sanctions. Elle va continuer ainsi auprès des petites entreprises, des associations, etc.

Beaucoup de gens ignorent qu’ils ne peuvent pas traiter de la donnée comme ils le veulent. C’est le cas d’ailleurs de nombreuses associations, pas simplement des crèches. Dans le domaine sportif, par exemple, on gère le fichier des adhérents, mais aucune déclaration n’est faite auprès de la CNIL, aucune vérification de la sécurité du site n’est effectuée. Et le jour où ces données personnelles s’envolent dans la nature, on s’expose aussi à des plaintes de la part des usagers.

2 – Comment réagir en cas de cyberattaque, de piratage et de fuites de données ?

« Il ne faut surtout pas hésiter à déposer plainte. Bien trop souvent, les victimes ne déposent pas plainte pour des cyberattaques alors qu’il y a un vrai champ infractionnel. Le Code pénal précise les amendes et les peines, qui peuvent être des peines d’emprisonnement, au travers de multiples articles. »

Si je devais ne donner qu’un seul conseil générique, c’est de débrancher le système attaqué d’Internet. Et si l’attaque a lieu sur les réseaux sociaux, c’est encore différent, parce que si on n’est pas connecté aux réseaux sociaux, on ne peut pas déconnecter son compte Facebook. Si le hacker a pris le contrôle de votre compte Facebook, il a changé le mot de passe. La règle, c’est de ne pas paniquer, réfléchir à ce qu’on peut faire pour éviter que ça ne puisse empirer.

Il y a une multitude de types d’attaque, et donc de solutions différentes. Chaque attaque se prévient et se traite différemment. Si vous vous êtes fait pirater votre compte Facebook, les conseils seront différents du cas où vous vous êtes fait pirater votre site Internet ou votre compte WhatsApp.

Sur la plateforme cybermalveillance.gouv.fr, vous trouverez tous les conseils pour pouvoir réagir selon votre problématique et y remédier. Vous pourrez aussi demander l’assistance d’un prestataire référencé par notre plateforme. Ces prestataires s’engagent en termes de bonnes pratiques, de compétences et de tarifs, pour apporter le meilleur service de proximité. Ce sont des acteurs locaux très compétents, parfaitement adaptés aux besoins de très petites structures ou de particuliers.

Enfin, il ne faut surtout pas hésiter à déposer plainte. Bien trop souvent, les victimes ne déposent pas plainte pour des cyberattaques alors qu’il y a un vrai champ infractionnel. Le Code pénal précise les amendes et les peines, qui peuvent être des peines d’emprisonnement, au travers de multiples articles. Les sanctions, là aussi, diffèrent selon le type d’attaque que vous subissez, si c’est une escroquerie ou une atteinte au système de traitement automatisé de données, autrement dit un piratage informatique. D’ailleurs, sur notre plateforme, vous retrouverez les articles de loi que vous pouvez invoquer pour votre dépôt de plainte.

3 – Quelles sont les bonnes pratiques pour sécuriser le site de la crèche et l’emploi de messageries type WhatsApp ?

« On le voit dans les piratages, bien souvent ils sont dus au fait que les cybercriminels vont parvenir à se connecter au site en forçant les mots de passe, tout simplement parce que dans bien des cas les mots de passe sont trop simples, donc faciles à craquer. Il faut donc avoir des mots de passe impossibles à deviner, suffisamment solides. »

Le site Internet est bien souvent externalisé en termes d’hébergement. La première chose est de bien choisir son hébergeur, de faire attention aux garanties de sécurité pour trouver la bonne offre et le bon compromis sécurité/coût par rapport aux données qu’on va être amené à traiter.

Après, le souci peut être qu’on commence par un site vitrine de la crèche avec peu de données, mais qu’au fil du temps le site évolue, avec des nouvelles fonctionnalités, comme permettre aux parents de déposer leur dossier d’inscription. Ce qui n’avait pas été initialement prévu. Donc, le niveau de sécurité n’a pas été augmenté, et on se retrouve sans en avoir conscience avec un site mal sécurisé. À chaque évolution du site, il faut repenser la sécurité.

Il y a aussi des précautions à prendre. On le voit dans les piratages, bien souvent ils sont dus au fait que les cybercriminels vont parvenir à se connecter au site en forçant les mots de passe, tout simplement parce que dans bien des cas les mots de passe sont trop simples, donc faciles à craquer.

Il faut donc avoir des mots de passe impossibles à deviner, suffisamment solides, de 12 caractères minimum, complexes, c’est-à-dire mélangeant chiffres, majuscules, minuscules et caractères spéciaux, a fortiori d’ailleurs quand on traite des données personnelles. Et ne pas hésiter à les changer dès qu’on a le moindre doute. Un ex-collègue parti en mauvais termes peut toujours partager le mot de passe avec quelqu’un de mal intentionné qui ira pirater le site et semer la pagaille.

Également, les cybercriminels vont utiliser ce qu’on appelle des failles de sécurité qui peuvent être des failles sur le serveur sur lequel est hébergé votre site. Votre site va reposer sur un système d’exploitation, et derrière vous allez utiliser un logiciel qu’on appelle un « gestionnaire de contenu » ou CMS (Content Management System), comme WordPress, Drupal, pour faire votre site, l’alimenter. Ce dernier peut comporter des failles de sécurité que les cybercriminels connaissent parfaitement. Ils vont ainsi exploiter ces failles pour prendre le contrôle de votre site. C’est un peu le vasistas du soupirail qui est resté ouvert, malgré une porte bien verrouillée : les criminels vont entrer par là. La plupart des crèches ne sont pas au fait de ces failles, c’est pour cela qu’il faut, dans ces cas-là, qu’elles se reposent sur un prestataire qui tient la route. Sur notre plateforme, vous pouvez faire une demande d’audit du site pour savoir quels sont les failles et les correctifs à apporter. Bien souvent, ce n’est pas difficile à corriger et la prestation est peu onéreuse. On ne peut pas avoir un site Internet qui traite de la donnée personnelle sans entretenir son niveau de sécurité.

Pour les réseaux sociaux, il faut essayer d’avoir des comptes d’administration un peu durcis. Prenez le cas de Facebook : si vous avez créé un groupe ou une page pour votre crèche, c’est votre compte personnel qui va permettre de gérer la page. Et votre compte personnel comporte un mot de passe. Celui qui pirate votre compte personnel a accès au compte de la crèche et peut publier n’importe quoi dessus : des images pornographiques ou des arnaques, des appels aux dons, etc.

Donc, il faut sécuriser ces comptes qui peuvent administrer la page en utilisant des mots de passe solides, là aussi. Et également en activant ce qu’on appelle la double authentification. Tous les réseaux sociaux le permettent. En activant la double authentification dès lors qu’une autre machine qui a déjà été approuvée par vous va essayer de se connecter au compte avec votre mot de passe, on va vous demander un code que vous allez recevoir par SMS, par exemple, ou par mail. C’est une sécurité supplémentaire, la clé et le verrou. Cela permet de limiter les accès frauduleux à votre compte, donc par votre conséquence à votre page et à votre groupe.

Toutes les personnes qui gèrent le site Internet ou la page Facebook depuis leur ordinateur portable personnel, doivent aussi sécuriser leur outil, c’est à dire bien faire les mises à jour de sécurité, faire attention aux messages reçus qui peuvent être des tentatives de piratage. Par exemple, on peut recevoir un message prétendu de Facebook qui demande de se réauthentifier au compte en invitant sur une fausse page Facebook où entrer le mot de passe. Il faut être très vigilant !

De même pour les messageries. Si vous utilisez une adresse de messagerie pour la crèche, il faut un mot de passe solide, la double authentification et sécuriser convenablement votre poste. Parce que si quelqu’un pirate votre poste et que vous êtes l’administrateur de la boîte mail, du compte Facebook et du site Internet, le pirate va pouvoir espionner tout ce que vous faites, récupérer les mots de passe utilisés pour tous ces services liés à la crèche et se connecter. Les dégâts peuvent être terribles. Or, on peut essayer de les prévenir.

Pour aller plus loin (articles Cybermalveillance.gouv.fr) :

Les 10 mesures essentielles pour assurer votre cybersécurité

Piratage de compte, que faire ?

Que faire en cas de piratage de compte sur les réseaux sociaux ?

La sécurité sur les réseaux sociaux

Que faire en cas de piratage d’une boîte mail ?

La sécurisation des sites Internet

Mon site Internet est-il sécurisé ?

Défiguration de site, que faire ?

Pourquoi et comment bien gérer ses mots de passe ?

Recommandations de sécurité informatique pour le télétravail en situation de crise