Sécurité des données : les entreprises doivent impliquer leurs collaborateurs

La sensibilisation et la formation continue des collaborateurs à la vigilance constante autour des données partagées est incontournable : quelles informations sont sensibles ou confidentielles, quels risques en cas d'interception, quels risques encourus, quels outils et quelles bonnes pratiques utiliser ?

L’essor du télétravail et de la gestion des activités professionnelles à distance, couplé à la multiplication des moyens de communication mis à la disposition des collaborateurs, a entraîné une hausse significative des cyberattaques à l’encontre des entreprises, quel que soit leur secteur, du retail à la supply chain en passant par le tourisme ou l’informatique, mais aussi des collectivités. Dommageable pour les entreprises mais aussi pour leurs interlocuteurs et leurs clients, l’atteinte à la sécurité des informations peut néanmoins être freinée grâce aux bons outils et à des gestes simples qui doivent être adoptés par l’ensemble des collaborateurs.  

L’envoi en pièce jointe à un email est désormais une pratique particulièrement répandue pour partager des documents entre collaborateurs d’une même entreprise comme vers un destinataire externe. Pourtant, ces documents peuvent contenir des informations sensibles ou confidentielles qui ne doivent pas se retrouver sur les écrans de personnes mal intentionnées. Les expéditeurs de ces documents ne saisissent pas toujours la dangerosité que peut représenter leur envoi et les risques liés à une rupture de la confidentialité de la correspondance sous forme électronique. Par ailleurs, la messagerie électronique reste l'un des principaux vecteurs de diffusion de menaces ou de stratégies d'intrusion ou d'interception d'information (diffusion de virus, hameçonnage, etc.).

La sensibilisation et la formation continue des collaborateurs à la vigilance constante autour des données partagées est une étape incontournable : quelles informations sont sensibles ou confidentielles, quels risques en cas d’interception de ces informations, quels risques encourus, quels outils et quelles bonnes pratiques utiliser pour assurer un partage sécurisé.

L’utilisation d’un mot de passe robuste, par exemple, ainsi qu’un usage d’internet cloisonné entre l’activité professionnelle et l’activité personnelle, sont des notions qui peuvent sembler évidentes mais qu’il est néanmoins nécessaire de rappeler fréquemment. Le verrouillage de session et le lancement des mises à jour recommandées ne sont pas des options, et la désactivation des logiciels de sécurité – anti-virus, pare-feu – est à éviter en toute circonstance. Certaines entreprises mettent en place des simulations de test de cyberattaques – faux messages d’hameçonnage, fausses clés USB piratées –, qui permettent d’analyser la réaction des collaborateurs et d’effectuer une session de rappel des bonnes pratiques en cas de besoin.

Si l’entreprise a pour obligation morale mais également légale de fournir le matériel adéquat afin de garantir la sécurité des données de ses clients, elle doit comprendre que sa mission intègre également l’adoption des protocoles permettant la bonne utilisation des outils par l’ensemble de ses collaborateurs, afin que les protections atteignent réellement leur potentiel maximal. 

Il est donc crucial d’impliquer les collaborateurs dans l’effort collectif contre les cyberattaques afin de minimiser les risques. Risque pour les entreprises elles-mêmes, mais aussi pour leurs clients. Car en cas d’attaque, c’est bien le dirigeant de la société victime du méfait qui pourra être inquiétée. L’article 34 du règlement général sur la protection des données indique que lorsqu’une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, le responsable du traitement doit communiquer la violation de données à caractère personnel à la personne concernée dans les meilleurs délais. Il doit ensuite être en capacité de démontrer que sa responsabilité n’est pas engagée, de prouver aux autorités qu’il a bien, en amont de cette attaque, utilisé tous les moyens nécessaires pour limiter les risques : sécurité du système d’information, formation des collaborateurs, mais aussi qu’il s’est bien assuré du bon fonctionnement de sa stratégie de protection, sur les plans matériel et humain.

Si l’entreprise affiche des manquements à la sécurité des informations qu’il traite, son dirigeant encourt des sanctions civiles et pénales pouvant aller jusqu’à cinq années d’emprisonnement et 300 000 euros d’amende (code pénal art 226-16). En 2019, le conseil d'Etat a confirmé l'amende CNIL de 200 000 euros infligée à une grande chaine d'optique[1] pour absence avérée de mesure d’organisation et de protection de son système d’information. Dans le contexte actuel, l'implication des collaborateurs n'est plus une option mais un engagement de tous les acteurs de l'entreprise en tête desquels les dirigeants, qui savent désormais que cela n'arrive pas qu'aux autres et qu'ils ne pourront pas invoquer une posture de victime pour seule défense.

[1] Source