block réseau

Données professionnelles – conseil aux entreprises

Les sociétés (y compris toutes autres formes juridiques), petites, moyennes ou grandes doivent ré-évaluer les risques. Trop souvent, les acteurs au sein d’ATICOM entendent “je n’ai rien à cacher”[1]. Cette réponse intervient lorsque les interlocuteurs n’ont pas évalués les risques ou n’ont pas conscience de ceux-ci. Mais, quels risques ? Les risques pour eux, pour les identités tiers au sein de leurs données personnelles et les données des tiers qu’ils possèdent sans réellement le savoir, comme les données commerciales (de leurs employeurs, collègues, clients ou partenaires commerciaux).

Vous trouverez donc, si dessous, quelques conseils.

 

  • Chaque employé au sein d’une affaire commerciale doit connaître la menace qui lui est propre, telles que l’intrusion et l’erreur humaine sur une donnée de l’entreprise. Par exemple, transmettre un devis à différents intervenants qui peuvent le transmettre à des personnes non autorisées, par mégarde ou volontairement. On parle également de la destruction d’information volontaire ou involontaire.

 

  • Utiliser les TIC au sein d’une entreprise comporte donc des risques qu’il est important de connaître, afin d’avoir des employés et des partenaires responsables. Tout membre d’une enseigne devrait également en tout temps être en mesure d’identifier les vulnérabilités de ses pratiques et de son employeur.
      1. “Suis-je le seul à avoir sur ma machine le dernier exemplaire des demandes du client ?”
      2. “Je vais voyager à l’étranger avec le plan d’action de la société, ai-je un backup en cas de vol à l’étranger ?”
      3. “Je communique des données très sensibles liées à mon affaire via des connexions publiques, suis-je sécurisé ?”
      4. “J’ai beaucoup de données personnelles de mes clients sur mon smartphone, le service IT a-t-il configuré mon téléphone afin de diminuer les risques de synchronisation avec mes comptes privées ?”
      5. etc…

 

  • A cela, une entreprise doit mesurer ses solutions et la valeur des informations stockées, échangées afin de mieux se protéger avec un coût acceptable sans pour autant gêner le traitement. Trop souvent les entreprises et les employés ont tendance à sous-évaluer les mesures de solutions, les considérant comme trop contraignantes. Les mesures de contrainte doivent donc s’accompagner d’une explication de la valeur du risque et de la menace. Une solution mesurée et expliquée est une solution plus facilement acceptée.

 

  • Un personnel formé permet donc d’augmenter les capacités des solutions. Avec un comportement adéquat, cela permet déjà de diminuer sensiblement les facteurs risques; pour l’entité, les employés et les clients. Si le personnel est pédagogiquement formé à la valeur d’une information, d’un risque lié à l’information et de son traitement celui-ci sera d’avantage responsable et se sentira plus concerné.

 

  • Il est également important de mentionner que la valeur de l’information doit être notifiée par une classification de l’information, pour responsabiliser ceux qui manipulent les données. Une entreprise qui règle correctement l’exploitation, le stockage et la destruction d’une information est plus enclin à diminuer les risques humains d’une manipulation erronée ou d’un traitement involontaire inadéquat. C’est en évaluant régulièrement les risques liés à la technologie d’information et de communication qu’une entreprise pourra gérer sa sécurité.

 

  • Avec une bonne stratégie de résponsabilisation, les incidents ou négligences de sécurité sont plus facilement analysés, reportés et traités. Il est donc plus facile pour une société sensibilisée au risque lié à l’utilisation de la technologie de s’adapter et de ré-évaluer son dispositif par une analyse des incidents.

[1] “je n’ai rien à cacher” lettre ouverte de Jean-March Manach pour internetactu.net