il y a 3 ans -  - 3 minutes

Kh-Corporate: Le rôle essentiel des salariés dans la sécurité des informations des entreprises

Les entreprises de tous types et de toutes tailles souffrent depuis plusieurs mois d’une recrudescence de cyberattaques. Ce phénomène découle notamment de la généralisation du travail à distance et de l’augmentation du nombre d’outils collaboratifs auxquels les salariés ont accès. Explications de Kh-Corporate.

Bien qu’ils puissent avoir un impact considérablement néfaste pour les entreprises comme pour leurs partenaires, ces incidents peuvent être évités et leurs conséquences diminuées. En effet, certaines pratiques préventives à mettre en place auprès des collaborateurs, corrélées à des solutions de cybersécurité performantes, peuvent contribuer à diminuer le nombre et l’impact des atteintes à la sécurité des informations des entreprises.

L’envoi en pièce jointe à un e-mail continue de se répandre pour partager des documents. Pourtant, ces documents peuvent contenir des informations sensibles ou confidentielles qui ne doivent pas se retrouver sur les écrans de personnes mal intentionnées. Les expéditeurs de ces documents ne saisissent pas toujours la dangerosité que peut représenter leur envoi et les risques liés à une rupture de la confidentialité de la correspondance sous forme électronique. Par ailleurs, la messagerie électronique reste l’un des principaux vecteurs de diffusion de menaces ou de stratégies d’intrusion ou d’interception d’information (diffusion de virus, hameçonnage, etc.).

Sensibilisation et formation continue

La sensibilisation et la formation continue des collaborateurs à la vigilance constante autour des données partagées est une étape incontournable. Quelles informations sont sensibles ou confidentielles, quels risques en cas d’interception de ces informations, quels risques encourus, quels outils et quelles bonnes pratiques utiliser pour assurer un partage sécurisé.

L’utilisation d’un mot de passe robuste ainsi qu’un usage d’internet cloisonné entre l’activité professionnelle et l’activité personnelle, sont des notions à rappeler fréquemment. Le verrouillage de session et le lancement des mises à jour recommandées ne sont pas des option. La désactivation des logiciels de sécurité – anti-virus, pare-feu – est à éviter en toute circonstance. Certaines entreprises mettent en place des simulations de test de cyberattaques – faux messages d’hameçonnage, fausses clés USB « piratées ». Elles permettent d’analyser la réaction des collaborateurs et d’effectuer une session de rappel des bonnes pratiques en cas de besoin.

Impliquer les collaborateurs

L’entreprise a pour obligation morale et légale de fournir le matériel pour garantir la sécurité des données de ses clients. Elle doit comprendre que sa mission intègre également l’adoption des protocoles permettant la bonne utilisation des outils. Les protections doivent atteindre leur potentiel maximal, explique Kh-Corporate.

Il est donc crucial d’impliquer les collaborateurs dans l’effort collectif contre les cyberattaques afin de minimiser les risques. Risque pour les entreprises elles-mêmes, mais aussi pour leurs clients. Car en cas d’attaque, c’est bien le dirigeant de la société victime du méfait qui pourra être inquiété. L’article 34 du RGPD indique que lorsqu’une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, le responsable du traitement doit communiquer la violation.

La personne concernée doit disposer d’une information conséquente dans les meilleurs délais. Il doit ensuite être en capacité de démontrer que sa responsabilité n’est pas engagée. Il doit prouver aux autorités qu’il a bien utilisé tous les moyens nécessaires pour limiter les risques. On parle de sécurité du système d’information, de formation des collaborateurs… Mais aussi de s’assurer du bon fonctionnement de sa stratégie de protection, sur les plans matériel et humain.

Attention aux sanctions

Selon Kh-Corporate, si l’entreprise affiche des manquements à la sécurité des informations qu’il traite, son dirigeant encourt des sanctions. Elles pouvent aller jusqu’à cinq années d’emprisonnement et 300 000 euros d’amende (code pénal art 226-16). En 2019, le conseil d’Etat a confirmé l’amende CNIL de 200 000 euros infligée à une grande chaine d’optique. Le motif : absence avérée de mesure d’organisation et de protection de son système d’information. Dans le contexte actuel, l’implication des collaborateurs n’est plus une option. Il s’agit d’un engagement de tous les acteurs de l’entreprise en tête desquels les dirigeants. Ces derniers savent désormais que cela n’arrive pas qu’aux autres. Ils ne pourront pas invoquer une posture de victime pour seule défense.

Cette tribune a été rédigée par Thierry Mottin, Directeur Business Development de Kh-Corporate.