Fini les solutions provisoires en matière de sécurité informatique
Tout le monde connaît les situations provisoires du travail quotidien. Lorsqu'une solution doit être trouvée rapidement, que le responsable n'est pas présent ou que c'est tout simplement son propre confort qui l'emporte : Des lacunes apparaissent alors dans la sécurité informatique, entraînant des violations de la protection des données et augmentant les risques de Data Breach. Materna Virtual Solution met en évidence quatre points noirs dont les collaborateurs et les responsables informatiques devraient mieux tenir compte.
Les exigences dans le domaine de la sécurité, de la protection des données et de la conformité sont connues des travailleurs. Dans le travail quotidien, elles deviennent néanmoins un défi. Que ce soit par commodité ou par ignorance, il y a toujours des situations qui deviennent rapidement critiques pour la sécurité informatique. Par exemple, lorsque, sous la pression du temps, des documents sensibles arrivent rapidement au mauvais endroit ou à la mauvaise personne ou, plus banalement, lorsque des conversations sensibles ont lieu dans un lieu public. Pour que les collaborateurs ne recourent pas au "Shadow IT" ou ne traitent pas les informations sensibles avec trop de négligence, il faut des instructions claires pour les scénarios critiques et des formations régulières. Le fabricant de logiciels Materna Virtual Solution présente quatre situations critiques en matière de sécurité qui se produisent rapidement dans le travail quotidien et qui devraient donc être gérées de manière d'autant plus stricte.
Gérer les données sensibles de manière pragmatique. En ce qui concerne la performance au travail, la technologie moderne offre de véritables boosters aux collaborateurs : dans le métro, on peut facilement téléphoner par smartphone, en réunion, on peut autoriser l'accès à l'écran pour les données des clients ou simplement laisser les ordres d'impression dans l'imprimante du service jusqu'au prochain coffee run. Est-ce que cela pose des problèmes de sécurité ?
Sécurité : les données sensibles et personnelles ne devraient être partagées avec des personnes de confiance que dans le cadre interne de l'entreprise et dans le respect des exigences en matière de protection des données et des dispositions de sécurité. En aucun cas, les informations personnelles ne doivent circuler sans protection dans l'espace public - les appels téléphoniques dans le métro sont donc tout aussi tabous que les documents non protégés.
Chacun doit définir sa propre sécurité. Les e-mails d'hameçonnage sont connus de tous et les sites web ou les applications non sécurisés peuvent être identifiés en un coup d'œil. Les collaborateurs expérimentés savent que le pare-feu offre une protection contre tous les agresseurs et qu'il est plus facile d'installer les mises à jour entre Noël et le Nouvel An. Jusqu'à présent, il n'y a pas eu non plus de problèmes de protection des données avec WhatsApp.
Sécurité : dans l'optique d'une sécurité informatique globale, toutes les parties prenantes de l'entreprise doivent être soumises aux mêmes exigences transparentes en matière de sécurité informatique. Cela implique d'installer régulièrement des mises à jour du système et de ne pas utiliser d'applications non sécurisées pour la transmission de données ou la communication. En aucun cas, chaque collaborateur ne doit définir ses propres normes, mettre les mises à jour en veille pendant une longue période ou utiliser des messageries privées à des fins professionnelles.
Les appareils ne devraient pas traîner sans être utilisés. L'employeur met à disposition le dernier smartphone ou le dernier ordinateur portable performant et il faut ensuite le laisser traîner inutilement le week-end ? L'utilisation privée correspond plutôt à l'esprit du développement durable et permet en outre de s'amuser en famille lorsque le jeu tourne enfin sans à-coups.
Sécurité : les appareils professionnels nécessitent un concept de protection particulier lorsqu'ils sont utilisés à des fins privées en plus de leur utilisation professionnelle. Selon COPE (Corporate-Owned, Personally Enabled), les entreprises peuvent préparer leurs appareils pour une utilisation privée sécurisée. Il peut s'agir par exemple de l'installation d'une solution basée sur un conteneur, dans laquelle toutes les applications professionnelles sont traitées dans un conteneur logiciel crypté.
Mots de passe faciles à retenir. Donner un nouveau mot de passe tous les deux mois, qui doit être à chaque fois plus long et plus compliqué ? Ce n'est pas vraiment recommandé. Mieux vaut pour la sécurité : les mots de passe et les mesures d'authentification à plusieurs niveaux sont indispensables et ne doivent pas être librement accessibles ni partagés avec des tiers. Les administrateurs informatiques doivent veiller à une mise en œuvre stricte des accès d'authentification. Grâce à l'utilisation d'outils et à des formations appropriées, ils peuvent aider les collaborateurs à gérer les mots de passe. En aucun cas, des listes de mots de passe imprimées ne doivent se trouver sur le bureau - et oui : même un conteneur à roulettes fermé à clé n'offre pas une protection suffisante.
"Bien sûr, ces "ne pas faire" sont exagérés, mais ils restent une réalité au quotidien. Au plus tard lorsqu'une attaque de sécurité a paralysé l'entreprise", explique Christian Pohlenz, expert en sécurité chez Materna Virtual Solution. "C'est pourquoi il est indispensable de mettre en place un concept de sécurité interne à l'entreprise qui intègre les exigences du RGPD et la conformité des mesures de sécurité. L'essentiel est ensuite d'organiser des formations régulières. Car tout concept de sécurité n'est bon que dans la mesure où il est appliqué au quotidien par les collaborateurs".
Source : www.virtual-solution.com
