Les collaborateurs dernière ligne de défense face aux violations des données

Pour sécuriser leurs SI, les entreprises empilent les technologies, mais oublient leurs collaborateurs. En réalité, ils sont la dernière ligne de défense contre les violations des données.

La sécurité des données est plus importante que jamais pour les entreprises. Les violations d’accès aux données peuvent causer des dommages financiers et une perte de confiance des clients. Pour garantir la protection des données, il est essentiel que les collaborateurs de l'entreprise comprennent les risques et adoptent les bonnes pratiques de sécurité. C'est pourquoi il incombe à la DSI et au service Qualité de sensibiliser et de former les employés aux pratiques de sécurité des données propres à leur entreprise.

Pour cela, il est essentiel de mettre en place certaines mesures afin que les collaborateurs soient armés pour lutter contre les violations de données dans leur entreprise.

Définir une Charte des bonnes pratiques 

Les politiques de sécurité des données définissent les règles que les employés doivent respecter. Ces règles peuvent être reprises dans une "Charte des bonnes pratiques de sécurité des données" adaptée à l'entreprise, à son secteur d'activité et facilement accessible. Elle couvre divers aspects tels que la gestion des mots de passe, l'accès aux informations sensibles, les sauvegardes de données, l'utilisation des appareils personnels, etc.

La Charte permet de sensibiliser les employés aux risques potentiels et de les informer sur les bonnes pratiques à adopter pour les prévenir. En énonçant les règles et les directives à suivre en matière de sécurité des données, elle fournit des directives précises et des recommandations sur les bonnes pratiques de sécurité, afin de réduire les risques de violations de données. 

Dans de nombreux secteurs, les entreprises sont soumises à des réglementations strictes en matière de protection des données, telles que le RGPD. Une Charte des bonnes pratiques de sécurité des données peut aider l'entreprise à se conformer à ces réglementations en définissant des mesures de sécurité appropriées et en veillant à ce que les employés les respectent.

Sensibiliser et former régulièrement les équipes en interne

La sensibilisation des employés commence dès leur intégration. L'équipe SI doit former les nouveaux salariés à la charte des bonnes pratiques de sécurité des données en expliquant le contexte et l'importance de ces pratiques, en utilisant un langage accessible. 

Des piqûres de rappels régulières permettent de s'adapter à l'évolution des menaces et d'intégrer de nouvelles pratiques et règles de sécurité. Les formations peuvent porter sur la protection des mots de passe, les règles d'authentification, l'utilisation des réseaux Wi-Fi publics et la gestion des informations confidentielles. 

Préparer des exercices de phishing est également intéressant pour tester la vigilance des collaborateurs. L'objectif de cet exercice est de tester si les employés reconnaissent les signes d'une tentative de phishing et évitent de divulguer leurs informations sensibles. Il favorise également une culture de la sécurité au sein de l'entreprise, où les employés se sentent responsables de la protection des données et sont mieux préparés à faire face aux menaces potentielles. 

L’équipe informatique crée par exemple, un e-mail soigneusement conçu pour ressembler à une communication officielle de la direction de l'entreprise, demandant aux employés de  de mettre à jour leurs informations d'identification pour des raisons de sécurité, en cliquant sur un lien fourni. Le message est envoyé à l'ensemble du personnel, en veillant à ce que l'expéditeur apparaisse comme provenant d'une source légitime.

La DSI organise ensuite une séance de sensibilisation où ils expliquent les signes distinctifs d'un e-mail de phishing, tels que des erreurs de grammaire ou d'orthographe, une adresse e-mail suspecte, des demandes de renseignements personnels, etc. 

Communiquer auprès des prestataires externes

La sensibilisation doit cibler l'ensemble du personnel, y compris les personnes qui ne sont pas directement impliquées dans les métiers de l'entreprise : fournisseurs, sociétés d’entretiens, de maintenance etc.

Prenons l'exemple d'une entreprise de soins de santé qui collabore avec une société de nettoyage pour l'entretien de ses locaux. Dans cet environnement, il y a des dossiers médicaux confidentiels stockés dans les bureaux et les salles d'attente, ainsi que des ordinateurs contenant des informations sensibles sur les patients. Dans le cadre de la sensibilisation à la sécurité des données, l'entreprise de soins de santé organise une session de formation pour les employés de la société de nettoyage.

Lors de la formation, les employés de la société de nettoyage apprennent à reconnaître les zones où des données sensibles peuvent être présentes et informés des mesures à prendre pour protéger ces données, comme le respect de la confidentialité, la manipulation appropriée des dossiers et le signalement de toute activité suspecte.

Un jour, l'un des employés de la société de nettoyage remarque un dossier médical laissé ouvert sur le bureau d'un médecin. Au lieu de l'ignorer, l'employé se souvient de la formation sur la sécurité des données et sait qu'il est de sa responsabilité de protéger ces informations confidentielles. Il signale immédiatement la situation au responsable de l'entreprise de soins de santé et évite ainsi une éventuelle fuite d’informations.

En collaborant et en assurant une compréhension commune des risques et des pratiques de protection des données, l'entreprise peut renforcer la sécurité de ses informations sensibles et prévenir les violations potentielles.