Contrairement aux idées reçues, aujourd’hui les fuites de données personnelles ne sont plus seulement le fait de cybercriminels. Le rapport 2018 de Securonix sur les menaces internes indique que les fuites peuvent être aussi dues à la négligence de collaborateurs internes aux entreprises.
D’après les études réalisées, 51 % des failles de sécurité entrainant des fuites sont causées involontairement par des salariés ou des prestataires inattentifs. Au regard de ce constat, les entreprises doivent, en priorité, former et informer les salariés autour de la protection des données. La formation des salariés à la sécurité est l’un des meilleurs moyens reconnu pour s’armer au sein des entreprises. Des séances de formations régulières permettent de créer une culture d’entreprise basée sur la connaissance qui à son tour contribuera à réduire le risque de fuite de données.
Selon une étude menée par l’institut Ponemon (source 2017), la fuite de données en entreprise représente un coût qu’il s’agit de réduire au mieux, grâce à la sensibilisation des salariés. La formation devient le troisième facteur le plus pertinent pour lutter contre la perte d’information (après la mise en place d’un plan de crise et le chiffrement des données). La formation continue des salariés réduit le coût d’une fuite de données de presque 17 dollars par fichier compromis.
Les experts s’accordent pour dire que la formation doit être continue et qu’elle doit expliquer comment protéger les informations d’identification personnelle au format papier ou électronique.
5 aspects de la formation du personnel permettant de réduire le risque de fuite de donnée
- MENACES SÉCURITAIRES
Former les salariés aux différentes menaces sécuritaires, c’est évoquer les menaces de type malwares (ransomwares et virus) mais aussi se prémunir des fraudeurs internes et externe, par des mesures de prévention. Le personnel doit être sensibilisé sur les virus pouvant affecter un disque dur pour y récupérer des données pensées supprimées. Apprenez aux salariés ce qu’est l’ingénierie sociale et comment elle est utilisée pour inciter les utilisateurs d’outils numériques à télécharger des logiciels malveillants ou à fournir des informations confidentielles. Le rapport sur les menaces internes précise que les tentatives de phishing (67 %) constituent le plus grand risque de faille interne accidentelle. - BONNES PRATIQUES
Tous les salariés doivent être parfaitement au courant des bonnes pratiques se rapportant à la législation sur la protection des données et savoir comment protéger les informations confidentielles sur le lieu de travail et à l’extérieur. On recommande d’utiliser des mots de passe complexes (selon le rapport sur les menaces internes, 56 % des répondants utilisent des mots de passe faibles ou utilisent le même mot de passe pour plusieurs applications) ; détruire les informations confidentielles de façon sécurisée lorsqu’elles ne sont plus nécessaires ; ne pas transférer d’informations confidentielles en étant connecté à un WiFi public ; ne pas télécharger des applis non approuvées sur des ordinateurs de bureau ; si un e-mail est suspect, le supprimer sans hésiter ; ne pas laisser d’appareils mobiles dans un véhicule. - SÉCURITÉ PHYSIQUE
Les salariés doivent bien comprendre que les locaux de l’entreprise doivent également être protégé. On peut par exemple prévoir un registre à signer pour les visiteurs ; mettre les appareils et les papiers confidentiels à l’abri en quittant son poste de travail et le bureau ; examiner la politique de gestion des documents pour vérifier si elle est sécurisée (de la création des documents jusqu’à leur évacuation et leur destruction) ; éviter de noter des informations confidentielles sur des post-its ; et verrouiller son poste de travail par un mot de passe. - CULTURE DE SÉCURITÉ
Il est important de créer une culture de sécurité sur l’ensemble de l’organisation. Les attitudes et les valeurs qui se reflètent dans les stratégies d’entreprises, procédures de sécurité et la conception globale des aspects sécuritaires, sont à la base de cette culture. Les membres de la direction doivent montrer l’exemple en adoptant eux aussi des comportements exemplaires. - POLITIQUES ET PROCÉDURES
La sécurité doit être intégrée aux processus de l’entreprise : mettre en place une politique du bureau propre ; former le personnel à la gestion et la destruction sécurisée des documents ; ne pas simplement effacer le matériel informatique obsolète – mais le faire détruire de façon sécurisée ; mettre en place une politique Shred-it All afin que toutes les informations dont vous n’avez plus besoin soient détruites.
Commencez à protéger votre entreprise
Pour savoir comment Shred-it peut protéger vos documents confidentiels, archives et disques durs, contactez-nous et recevez gratuitement un devis et une évaluation de vos risques de sécurité.