DOCUMENT

Sensibilisation à la sécurité : Protéger les utilisateurs

Posted on by Telford Beaupre
Sensibilisation à la sécurité : Protéger les utilisateurs

Les mesures essentielles

La sensibilisation des utilisateurs, internes et externes à l’entreprise, travaillant avec des données personnelles, est cruciale pour préserver les libertés et la vie privée des individus. Il est essentiel de les informer des mesures prises pour atténuer ces risques et des conséquences potentielles en cas de manquement. Cela peut se traduire par diverses actions, telles que des séances de sensibilisation, l’envoi régulier de mises à jour des procédures appropriées en fonction de leur rôle, des rappels par email, etc.

Il est également important de documenter les procédures opérationnelles, de les maintenir à jour et de les rendre accessibles à tous les utilisateurs concernés. Chaque action liée au traitement de données personnelles, qu’il s’agisse d’une opération d’administration ou simplement de l’utilisation d’une application, doit être expliquée de manière claire et adaptée à chaque catégorie d’utilisateurs, dans des documents qu’ils peuvent consulter.

Une charte informatique contraignante

Il est recommandé de rédiger une charte informatique et de lui donner une force contraignante en l’annexant au règlement intérieur, par exemple. Cette charte devrait comporter au moins les éléments suivants :

  1. Rappel des règles de protection des données et des sanctions encourues en cas de non-respect.

  2. Champ d’application de la charte, incluant notamment :

    • Les modalités d’intervention des équipes en charge de la gestion des ressources informatiques de l’organisation.
    • Les méthodes d’authentification utilisées par l’organisation et la politique de mots de passe que les utilisateurs doivent respecter.
    • Les règles de sécurité auxquelles les utilisateurs doivent se conformer, notamment :
      • Signaler toute tentative suspecte de violation de leur compte informatique, toute perte ou vol de matériel, ou tout dysfonctionnement au service informatique interne.
      • Ne jamais partager leur identifiant/mot de passe avec un tiers.
      • Ne pas installer, copier, modifier ou supprimer des logiciels et leurs paramètres sans autorisation.
      • Verrouiller leur ordinateur lorsqu’ils s’éloignent de leur poste de travail.
      • Ne pas accéder, essayer d’accéder ou supprimer des informations qui ne relèvent pas de leurs tâches.
      • Respecter les procédures préalablement définies par l’organisation pour les opérations de copie de données sur des supports amovibles, notamment en obtenant l’accord de leur supérieur hiérarchique et en respectant les règles de sécurité.

  3. Modalités d’utilisation des outils informatiques et de télécommunications mis à disposition, tels que :

    • Le poste de travail.
    • Les équipements nomades (notamment dans le cadre du télétravail).
    • Les espaces de stockage individuels.
    • Les réseaux locaux.
    • Les conditions d’utilisation des appareils personnels.
    • L’accès à Internet.
    • La messagerie électronique.
    • La téléphonie.

  4. Conditions d’administration du système d’information, y compris l’éventuelle utilisation de :

    • Systèmes automatiques de filtrage.
    • Systèmes automatiques de traçabilité.
    • Systèmes de gestion du poste de travail.

  5. Responsabilités et sanctions encourues en cas de non-respect de la charte.

LIRE  Qu’est-ce qu’un MDM, Mobile Device Management ?

Aller plus loin

Pour renforcer la sécurité des informations, il est recommandé de mettre en place une politique de classification de l’information, définissant plusieurs niveaux (public, interne, confidentiel) et imposant un marquage des documents, des supports et des courriers électroniques contenant des données confidentielles.

Il est également conseillé d’ajouter une mention visible et explicite sur chaque page des documents papier ou électroniques qui contiennent des données sensibles.

Des séances de formation et de sensibilisation à la sécurité de l’information devraient être organisées. Des rappels périodiques peuvent être effectués par email. Les campagnes de sensibilisation peuvent également prendre la forme de simulations d’attaques, telles que des campagnes de phishing.

Il est recommandé de prévoir la signature d’un engagement de confidentialité pour les personnes amenées à manipuler des données personnelles. Il est également possible d’inclure une clause de confidentialité spécifique concernant les données personnelles dans les contrats de travail.

Exemple d’engagement de confidentialité pour les personnes ayant vocation à manipuler des données personnelles :

[Insérer l’exemple d’engagement de confidentialité]

Telford Beaupre