Méa culpa… trop souvent les prestataires informatiques se sont focalisés sur les dispositifs techniques à mettre en place pour sécuriser l’informatique des PME. Même si les UTM, antivirus et autres sauvegardes sont indispensables, nous avons trop souvent négliger les utilisateurs. Ce qui semblait naturel pour les informaticiens devaient l’être également pour les utilisateurs. Ce n’est pas si simple…
Le problème, c’est l’utilisateur ?
80% des problèmes de sécurité informatique proviennent d’une défaillance humaine interne liée à un problème de procédure ou d’usage (source CNIL). Ce qui va de soi pour les informaticiens ne vas pas forcément de soi pour les utilisateurs. Les utilisateurs ne sont plus formés sur les outils, car nous pensons que tout est acquis notamment avec les jeunes générations. Leurs usages permanents des réseaux sociaux ne fait pas d’eux des experts en sécurité informatique. Leur dextérité sur les réseaux sociaux les amène à utiliser de façon naturelle leurs applications privées dans un cadre professionnel, sans tenir compte de critères essentiels comme la sécurité ou la confidentialité. La frontière entre la sphère personnelle et professionnelle semble de plus en plus mince. D’ailleurs le développement du BYOD ou Bring Your Own Device qui signifie “Apportez votre Equipement Personnel de Communication” n’arrange rien. En effet, cet usage d’équipements informatiques dans un contexte professionnel (ordinateur, tablette, smartphone personnel) doit être évité. Le droit du travail impose à l’employeur de fournir à ses collaborateurs les moyens nécessaires à l’exécution de leurs tâches.
La sensibilisation de vos collaborateurs au vol de données et autres failles de sécurité passera par la formation. L’erreur est humaine même au sein de l’entreprise. Chaque utilisateur est amené à utiliser des données à caractère personnel. Formez vos utilisateurs est donc la première étape.
Les principales failles de sécurité en entreprise
- La gestion des mots de passe : mots de passe trop simples et peu changés ;
- La gestion des e-mails : pièces jointes avec des virus, e-mails frauduleux ;
- La sauvegarde de données ;
- Le stockage de données : risque de perte d’informations ;
- La gestion des applications ;
- La mise en veille de leur ordinateur : risque de vol de données, d’espionnage ;
- Les réactions face aux risques : phishing, cryptolockers…;
- Les anti-virus et les mises à jour de sécurité Windows ;
- Le vol de matériel informatique : perte de données, usurpation d’identité.
Comment est perçue la sécurité digitale aujourd’hui ?
La culture de la sécurité digitale reste peu développée en France. La perception par les utilisateurs du rôle de la technologie et de ses enjeux demeurent floue notamment en matière de protection de la vie privée. Quelques chiffres pour s’en persuader :
- 41 % des utilisateurs pensent que les nouvelles technologies présentent plus d’opportunités que de risques ;
- 91 % des utilisateurs pensent que la sécurité et la protection des données sont très importantes ;
- Seulement 42% des utilisateurs suppriment les cookies du navigateur pour protéger leur vie privée.
Les chiffres ci-dessus correspondent à un baromètre de consommateurs Google (janvier 2018) basé sur une étude des utilisateurs Internet adultes. Cela représente uniquement leurs comportements et activités.
Avec le développement du Règlement Générale sur la Protection des Données (RGPD), il est nécessaire de développer cette culture digitale. L’entreprise doit mettre les moyens pour sécuriser les données à caractère personnel. Les collaborateurs doivent respecter les bonnes pratiques de l‘hygiène informatique et se former pour éviter les failles.