Virus, hameçonnage, vol de données… les menaces qui planent sur vos affaires sont nombreuses, et surtout pas aussi lointaines que vous le croyez. Voici cinq attitudes de vos employés qui menacent (involontairement) la confidentialité, la disponibilité et l'intégrité de vos données.
Patrick Boucher, président de Gardien Virtuel, une entreprise spécialisée dans le domaine de la sécurité des TI, résume simplement la situation : « Il y a trois angles d’attaque en sécurité informatique : les employés, les processus et la technologie. » Selon lui, les employés sont le maillon faible de cette équation, car près de 70 % des failles seraient dues à l’erreur humaine.
Prêter son matériel informatique à une autre personne, ne pas avoir de code de verrouillage sur son téléphone intelligent, utiliser un appareil personnel pour le travail ou désactiver l’antivirus, par exemple, sont autant d’erreurs commises par des employés. Mais selon Patrick Boucher, le véritable problème est ailleurs, dans cinq attitudes qu’adoptent les employés, et parfois même leurs supérieurs.
1. Ignorer la sécurité
« Il y aurait un important travail d’éducation et de sensibilisation à faire auprès de plusieurs gestionnaires et de leurs employés », souligne Patrick Boucher. En effet, dans certains cas, l’ignorance est responsable des brèches dans la sécurité informatique d’une entreprise. Les employés ne savent pas quelles mesures sont en place pour assurer la sécurité des données, ils ne sont donc même pas conscients de poser des gestes risqués.
2. Se déresponsabiliser
Selon Patrick Boucher, des employés supposent que tout est pris en charge par le département d’informatique de leur compagnie. « S’il y a un problème, ils s’en remettent à eux, en se déresponsabilisant des dégâts qu’ils auraient pu causer et bien innocemment, ils croient que tout pourra se régler. » Mais ce n’est pas la réalité. Patrick Boucher croit aussi qu’une meilleure communication est essentielle entre les responsables de la sécurité informatique et les employés. Pas seulement pour savoir qui fait quoi, mais pour adopter une attitude plus respectueuse des responsabilités de chacun.
3. Ne pas rapporter un problème
Les employés rencontrent donc des problèmes, ils peuvent par exemple constater qu’un virus a contaminé leur ordinateur et vont chercher des solutions sur le Web. « Mais l’attitude qu’il ne faut pas adopter dans ces cas- là, précise Patrick Boucher, est d’omettre d’en informer les responsables de la sécurité informatique. Même si l’employé dénoue le problème en surface, l’intrusion du système peut se poursuivre et la sécurité des données n’est donc pas assurée. Elle ne se limite pas au poste informatique de chacun. »
4. Qu’est-ce qu’on veut protéger ?
Ces exemples nous ramènent au problème de l’éducation et de la sensibilisation en entreprise. Selon Patrick Boucher, « la majorité des employés ne savent pas exactement ce que leur compagnie souhaite protéger ». Il est donc normal qu’ils posent des gestes involontaires parfois lourds de conséquences.
5. Le manque de ressources
L’attitude des gestionnaires peut aussi nuire à la protection des données de l’entreprise. On ne veut pas dépenser trop d’argent, on n’a pas le temps et on néglige la formation aux employés. « Au Québec, nous n’avons pas une très grande maturité face à la sécurité informatique », déplore Patrick Boucher. « Pourtant, elle devrait être au cœur des enjeux stratégiques et des décisions prises par les gestionnaires, pour prévenir les risques en amont. Car tôt ou tard, toutes les entreprises font face à un incident de sécurité. »
Selon lui, la préparation est le meilleur outil de toute entreprise qui souhaite protéger la confidentialité, la disponibilité et l'intégrité de ses données.