• GUIDE : LE RGPD EXPLIQUÉ
  • LE BLOG
  • CONTACT
www.audit-dpo.com
  • Accueil
  • Audit à blanc RGPD
  • Respecter le RGPD
  • Pourquoi s’inscrire ?
  • Demander un audit
RGPD : état des lieux de la sensibilisation des utilisateurs

Accueil » RGPD : état des lieux de la sensibilisation des utilisateurs

RGPD : état des lieux de la sensibilisation des utilisateurs

par Audit Pia | 15/Mai/2020 | Actu |

Avec la mise en application obligatoire du RGPD (Règlement Général sur la Protection des Données) dans les entreprises se pose la question des moyens. Si la sécurité informatique passe pour beaucoup par des logiciels de protection (antivirus, pare-feu), l’erreur humaine n’est pas à négliger. En effet, elle est l’un des vecteurs majeurs des problèmes liés à la protection des données. Une cybersécurité efficace ne pourra se dispenser de l’étape décisive de la sensibilisation des salariés. Les objectifs sont multiples : réduire le risque de piratage lié au facteur humain ; anéantir les vols ou perte de données ; limiter drastiquement les tentatives d’usurpation d’identité. Si cette exigence est contraignante, les entreprises peuvent compter sur des experts du domaine.

Les risques informatiques dans l’entreprise

Ce sont les mots virus et piratage qui viennent tout de suite à l’esprit quand on entend sécurité informatique. Les systèmes de messagerie sont très touchés par des tentatives malveillantes et on notera deux risques principaux :

  1. le phishing : un email qui usurpe l’identité de votre banque ou d’un de vos opérateurs et réclame des identifiants, des mots de passe ou des codes à des fins frauduleuses. Les usurpateurs pourront également demander un virement en se faisant passer pour le service des impôts par exemple ;
  2. le ransomware : un email malintentionné atterrit sur une boîte de messagerie et contient une pièce-jointe renfermant un virus. Si l’utilisateur a le malheur de l’ouvrir, le virus va véroler tous les disques durs du serveur utilisé par le PC. Le rapport annuel de la société d’informatique Proofpoint témoigne dans ce cadre que 50 % des clics sur un URL malveillant se fait dans l’heure de la réception de l’email. C’est un constat éloquent sur le manque de bonne pratique au sein des structures.

Outre ces phénomènes, la grande peur des dirigeants est la perte de données importantes et/ou sensibles. On constate que ce sont les services comptabilité et ressources humaines qui sont très souvent la cible de cyberattaques. De faux profils de candidats sur les réseaux sociaux ou des CV renfermant un virus peuvent duper des recruteurs inattentifs. D’autre part, l’arnaque au « faux président » a coûté cher à de nombreuses PME : un individu se faisant passer pour le dirigeant de votre société appelle le service comptabilité pour réaliser un virement urgent, hors du cadre des procédures. Le stratagème est bien rôdé, il faut se montrer vigilant.

Les solutions pour mieux sensibiliser vos utilisateurs

La prise de conscience par vos utilisateurs de l’importance de la protection des données passe par plusieurs canaux. Tout d’abord, il conviendra de rédiger une charte informatique claire et connue de tous. Cette dernière devra indiquer les droits et les devoirs de chacun en termes de traitement des données à caractère personnel. Elle précisera également les modalités d’utilisation et les conditions d’administration des moyens informatiques et de télécommunication. Qui plus est, elle devra avoir un caractère contraignant (sanctions) en l’annexant par exemple au règlement intérieur de l’entreprise. Une fois établie, la charte informatique fera l’objet d’une diffusion proportionnée pour sensibiliser les utilisateurs.
L’étape suivante sera une sensibilisation soutenue pour l’ensemble des salariés. Elle passera par :

  • la communication interne dans l’entreprise (tableau d’affichage, diffusion d’emails, de newsletters, de mémos, etc.) ;
  • des formations spécifiques à chaque service.

Il s’agit pour toutes les parties prenantes internes d’acquérir les réflexes essentiels lors de l’usage des outils informatiques. Ces bonnes pratiques assureront la pérennité de la sécurité du traitement des données. Comme rappelée ci-dessus, la formation est un des leviers les plus puissants pour ancrer cette sensibilité dans les esprits. Elle pourra prendre la forme de séances physiques avec un formateur chevronné, de sessions e-learning ou de tutoriels vidéo.
Quels sont d’après vous les bons réflexes en cas de clic sur un lien ransomware ? Eh bien, c’est simple, il faut impérativement débrancher la connexion Ethernet de l’ordinateur et couper le Wi-Fi rapidement. Ainsi, le virus ne pourra pas se propager. Mais encore faut-il connaître ces techniques.

Les erreurs à éviter et les bonnes pratiques à appliquer

Plusieurs écueils sont à déjouer afin de garantir la protection des données sensibles, la vie privée et la sécurité des systèmes informatiques :

  1. considérer que la sécurité informatique ne concerne que les grosses entreprises. Quelle que soit leur taille : TPE, PME ou multinationales ou quel que soit leur secteur d’activité, 100 % des sociétés sont soumises à des risques ;
  2. ne pas tenir compte des réseaux mobiles (smartphones) : ces derniers représentent 42 % des clics sur URL frauduleux ;
  3. délaisser les sauvegardes de données critiques et confidentielles. Si un pirate a crypté vos données et vous demande une rançon, vous pourrez toujours formater le disque dur et y restaurer les données complètes.

Au contraire, un certain nombre de bonnes pratiques existe, elles devront être imposées dans la charte informatique et rappelées régulièrement. On pensera particulièrement à :

  • documenter, mettre à jour et diffuser les procédures en lien avec la sécurité informatique ;
  • envisager la classification de l’information par un marquage des documents numériques ;
  • diffuser périodiquement des rappels via les messageries électroniques ;
  • former de manière continue les utilisateurs à la protection des données ;
  • mettre en place un engagement de confidentialité avec signature, voire une clause de confidentialité liée aux données à caractère personnel dans le contrat de travail.
  • ne jamais confier ses identifiants ou mots de passe à des tiers ;
  • ne jamais installer de logiciels sans l’autorisation du service informatique ;
  • toujours demander à qui de droit la possibilité de supprimer telle ou telle information numérique ;
  • toujours verrouiller son ordinateur ou sa session avant de quitter son poste de travail (idem pour les smartphones) ;

La sécurité informatique est un point capital pour les entreprises. La connaissance des risques informatiques et des moyens de prévention associés (mots de passe forts, mises à jour régulières, contrôle des accès, etc.) n’est pas une option. Ainsi, la sensibilisation des salariés à tous les échelons devient un paramètre majeur (même pour la direction). La mise en place du RGPD est un processus fastidieux mais qui doit être pris très au sérieux. Vous n’êtes pas seul face à ces problématiques. Des professionnels sont là pour vous guider. Complétez notre formulaire de contact pour plus d’informations sur nos services.

  • LinkedIn
  • Twitter
  • Google+
  • Facebook

Demander une étude personnalisée

Vous souhaitez une mise en conformité de votre entreprise au RGPD applicable le 25 mai 2018 ?
  • Usages des données / finalités de traitements : les données collectées seront utilisées pour vous envoyer un e-mail à l'ouverture du service ou pour la création d'un devis dans le cadre d'une demande de prestation.
  • Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

Catégories

  • Actu
  • DPO
  • Etats des lieux
  • La protection des données
  • Le RGPD
  • Le RGPD article par article
  • tweets du jour

Articles récents

  • Checklist des éléments à vérifier en 2021 pour l’audit de sa compliance RGPD
  • Article 100 – Les obligations des contractants définies
  • Etat des lieux de la mise en place un PCA et PRA dans le cadre du RGPD
  • Article 97 – Rapports de la commission
  • Etat des lieux de la gestion de la sous-traitance dans le cadre du RGPD
2018 © Audit-Pia.com | Tous droits réservés |Plan du site | Données personnelles
Posting....
Share This
  • LinkedIn
  • Twitter
  • Google+
  • Facebook