Comment protéger vos données en sensibilisant vos collaborateurs ?

11⁄04⁄2019

Comment des données d’une entreprise se retrouvent-elles mises en péril ? Bien souvent, ces fuites de sécurité sont dues aux collaborateurs qui n’appliquent pas les bonnes pratiques pour protéger les données confidentielles ou sensibles.

Découvrez les bonnes pratiques pour sensibiliser vos collaborateurs aux risques liés à la sécurité des données et leur faire acquérir les réflexes de base.

La protection des données est l'affaire de tous les collaborateurs dans l'entreprise : sensibilisez-les-y

Organisez des sessions de formation à la protection des données

Pour impliquer vos collaborateurs dans la protection des données relatives à l’entreprise, il est nécessaire de les réunir régulièrement pour leur expliquer les bonnes pratiques de sécurité.

Organisez au moins une fois par an des formations à la sécurité des données. Vous pouvez les mener en collaboration entre les RH et la direction informatique, par exemple, ou choisir de les laisser aux mains d’organismes externes, spécialistes de la sécurité des réseaux et données.

Dans ces sessions, expliquez-leur clairement quelles données de votre entreprise sont sensibles ou confidentielles, et quels sont les risques à ne pas les protéger correctement. Insistez bien sur les risques pour l’entreprise, mais aussi les risques qu’ils encourent eux-mêmes, à titre individuel.

Pour vous aider à organiser ces sessions de formation, vous pouvez vous appuyer sur le kit de sensibilisation Cybermalveillance : son contenu est sous licence ouverte et donc entièrement personnalisable pour votre entreprise en particulier.

Enfin, lors de ces formations, veillez à ménager un moment de questions/réponses pour vous assurer que vos collaborateurs ont bien compris.

Rendez obligatoire l’adoption de mots de passe sécurisés

Pour chaque compte utilisateur Internet ou logiciel, il faut inciter vos collaborateurs à choisir des mots de passe sécurisés.

Voici quelques règles simples pour les aider à créer des mots de passe sécurisés :

  • Choisir un mot de passe robuste, qui comprend des lettres, des chiffres et des caractères spéciaux.
  • Ne pas se servir de mots de passe faciles à deviner comme sa date de naissance ou le nom de son conjoint ou animal de compagnie.
  • Créer un mot de passe différent par plateforme ou logiciel utilisé, que ce soit dans les usages personnels ou professionnels.
  • Utiliser un gestionnaire de mots de passe pour regrouper tous ses mots de passe différents. Cybermalveillance.gouv.fr recommande KeePass.

Invitez-les à modifier chacun de ces mots de passe régulièrement en faisant circuler une note d’information à ce sujet dans l’entreprise, idéalement en mettant une règle dans votre contrôleur de domaine. Enfin, rappelez-leur de ne jamais confier leurs identifiants de connexion à des tiers.

Sensibilisez-les à la séparation des usages personnels et professionnels d’Internet

Les données de votre entreprise peuvent être mises en péril par des usages d’Internet mêlés entre vie professionnelle et vie privée.

Sensibilisez donc vos collaborateurs à la séparation de ces deux usages en leur expliquant de :

  • Ne pas stocker des données professionnelles sur des sites de stockage personnels. La raison en est simple : ils en deviennent responsables à titre personnel.
  • Ne pas transférer de messages entre sa messagerie professionnelle et personnelle, pour éviter de rendre potentiellement accessible à d’autres des données sensibles de l’entreprise.
  • Ne pas se connecter à des réseaux WiFi inconnus, leur mauvaise configuration peut mettre en danger la confidentialité et l’intégrité des données qui y sont échangées. L’utilisation d’un réseau WiFi public est cependant possible dans le cas où l’entreprise équipe les postes nomades d’un VPN (réseau privé virtuel) qui permet de chiffrer les données pour les échanges.
  • Maîtriser leurs propos sur les réseaux sociaux lorsqu’ils évoquent leur travail ou leur vie en entreprise car leurs publications peuvent leur échapper et être rediffusées ou interprétées au-delà de ce qu’ils avaient envisagé.

Expliquez les bons réflexes à adopter

La sécurité des données ne tient pas uniquement à l’usage d’Internet. D’autres bonnes pratiques doivent également être mises en place.

En voici quelques unes, à diffuser lors de vos sessions de formation et sur vos fiches pratiques de sensibilisation à la protection des données :

  • Éteindre ses machines (ordinateur, mais aussi tablettes ou portables) lorsqu’on ne les utilise pas ;
  • Verrouiller sa session lorsqu’on ne se trouve pas devant son poste informatique ;
  • Ne pas installer de nouveaux logiciels sans en référer au responsable informatique ;
  • Mettre à jour ses équipements et logiciels, notamment dans le cas où l’entreprise ne possède de service informatique ;
  • Être vigilant lorsque les collaborateurs reçoivent un courriel contenant un lien. Avant de cliquer sur celui-ci, demandez-leur de positionner le curseur de la souris sur le lien pour afficher l’adresse vers laquelle il renvoie ;
  • En cas de doute sur la l’authenticité d’un courriel ou d’un appel, ne pas hésiter à en référer à son responsable hiérarchique ;
  • Ne jamais laisser sans surveillance ses moyens de communication (ordinateur portable, tablette ou téléphone mobile) ;
  • Ne pas désactiver les logiciels de sécurité comme les antivirus ou les pare-feu ;
  • Faire attention aux systèmes de stockage externes comme les clés USB ou les disques durs externes, qui peuvent contenir des logiciels malveillants ;
  • Ne pas brancher de périphériques USB inconnus sur une machine d’entreprise, et inversement, ne pas brancher les supports amovibles de l’entreprise sur des équipements inconnus
  • Dans les transports, ne pas laisser ses équipements sans surveillance.

Ces bonnes pratiques doivent devenir naturelles pour vos collaborateurs qui doivent redoubler de vigilance dès qu’ils traitent et/ou utilisent les données de votre entreprise.

Faites régulièrement des tests de sécurité en interne

Pour vous assurer que les bonnes pratiques soientt respectées au quotidien, menez régulièrement des tests de sécurité en interne.

Comment procéder à ces tests ?

  • Envoyer de faux messages de hameçonnage sur leurs messageries professionnelles, au hasard, et suivez les ouvertures ou les clics dans ces courriels,
  • Répartir quelques clés USB au sein de votre entreprise contenant un script inoffensif dont l’objectif est de vous prévenir qu’elle a été intégrée dans le système de votre entreprise et d’avertir le collaborateur.

Pensez aux fiches de bonnes pratiques pour sensibiliser à la protection des données

Vous connaissez désormais quelques bonnes pratiques à partager avec vos collaborateurs. Afin que ces réflexes soient régulièrement rappelés, n’hésitez pas à faire circuler les fiches qui les résument.

Distribuez ces fiches à tous les nouveaux collaborateurs dès leur entrée dans l’entreprise.

Affichez-les également dans vos locaux en les adaptant de manière à ce qu’elles soient comprises en un coup d’oeil, avec des pictogrammes bien visibles. Vous pouvez aussi diffuser des vidéos sous-titrées qui les expliquent dans vos salles de pause.

Laissez ces fiches pratiques à disposition sur votre plateforme de stockage professionnelle pour qu’elles soient accessibles à tout moment.

Pour créer vos propres fiches pratiques, inspirez-vous de celles de cybermalveillance.gouv.fr que vous trouverez ici.


Les derniers articles

Retrouvez plus d'informations concernant la sécurité du numérique.