faille-de-securite-collaborateurs
Publié le : 10/01/2018 dans IT, Logiciel CRM Par : Léa Labatut Tags :

Et si les failles de sécurité venaient de vos collaborateurs ?

Si les entreprises mettent en œuvre plusieurs mesures de sécurité pour protéger leur système informatique contre des attaques extérieures, les dirigeants négligent souvent le principal risque de faille de sécurité : les collaborateurs. Alors, comment prévenir ces attaques ?

 

Les ressources humaines constituent la plus importante valeur d’une entreprise. Mais, par méconnaissance des risques ou par manque de prudence, vos salariés peuvent mettre en péril votre entreprise. Une bonne stratégie de sécurité ne se limite donc pas à des choix techniques. Technologies, processus et équipes doivent travailler, de concert, pour éviter les failles de sécurité.

 

Sensibilisez vos salariés aux bonnes pratiques en matière de sécurité des données

Les cybercriminels ou hackers utilisent des systèmes d’ingénierie sociale pour manipuler vos salariés et parvenir à leurs fins. L’ingénierie sociale est un ensemble de méthodes utilisées par des personnes malintentionnées pour tirer profit du manque de méfiance et des mauvais usages des utilisateurs afin de s’introduire dans votre SI.

Veillez donc à sensibiliser vos collaborateurs. Vous pouvez, d’une part, faire des exercices pour tester leurs connaissances en termes de sécurité et de protection des données. D’autre part, pensez à mettre en place un processus d’alerte qui sera expliqué à chaque personne en contact avec les données de votre entreprise. Les utilisateurs doivent aussi apprendre à traiter avec prudence toutes les demandes sensibles. Par ailleurs, la plupart des employés admettent consulter régulièrement des sites non professionnels depuis les appareils prêtés par l’entreprise. Pensez alors à déployer des filtres d’accès aux applications et sites externes afin de limiter les risques.

 

Définissez des mots de passe sécurisés pour limiter les failles de sécurité

Un mot de passe faible constitue à lui-seul un risque. C’est le maillon faible de votre défense. Souvent fourni par défaut pour le premier accès, il doit ensuite être modifié et personnalisé par l’utilisateur. C’est un moyen d’authentifier chacune des personnes qui accède à vos données. Il est de plus en plus fréquent de devoir composer un mot de passe comprenant des chiffres, des lettres, des caractères spéciaux, etc. Alors, pourquoi pas vous ? Où en est votre politique de mots de passe ?

Attention néanmoins à ne pas tomber dans le tort inverse. Trop de sécurité tue la sécurité… et génère des risques énormes ! Devoir renseigner son mot de passe toutes les 5 minutes n’est pas une bonne idée. Vous risquez d’énerver vos utilisateurs, de leur faire perdre en productivité mais aussi, et surtout, de leur donner de mauvaises idées (extraction de données en clair, impression de documents confidentiels…).

 

Mettez en place une politique de gestion des droits d’accès

Plus des deux tiers des collaborateurs d’une entreprise (71% plus précisement) ont accès à des données dont ils n’ont pas d’usage légitime. Ce constat affligeant a été fait par le Ponemon Institute et met en avant un risque majeur. En effet, cette faille est particulièrement dangereuse si les comptes des salariés font l’objet d’une attaque malveillante. Le pirate aurait alors accès à de nombreuses données personnelles ou sensibles.

Certes, le partage d’informations est la clé d’une collaboration efficace entre les différents services de votre entreprise. Mais, jusqu’où aller ? Vous devez définir une politique de gestion des droits d’accès. Pour cela, la première étape est de classifier les profils utilisateurs. Ensuite, à vous de décider les données auxquelles ont accès les profils A, les profils B, etc.

 

Identifiez les comportements suspects sur votre base de données

Un utilisateur fait un export ? Il feuillette différentes fiches ? Alerte rouge… Il y a peut-être une faille de sécurité ou, pire, une violation de données. Vous devez être en mesure de connaître tous les mouvements qui ont lieu sur votre base de données. Certains logiciels vous permettent d’avoir un suivi détaillé ; c’est le cas de E-DEAL CRM par exemple :-).

Mais, si un collaborateur est réellement malveillant, il peut aussi pousser le vice plus loin. Méfiez-vous de la corruption de données. Imaginez qu’il supprime, ou modifie de façon volontairement erronée, 10 fiches clients par jour. C’est assez discret et il peut passer sous vos radars de surveillance. Pour éviter cela, vérifiez si votre logiciel CRM offre la possibilité d’un suivi champ à champ des mouvements. Et analysez ces fameux mouvements.

 

Sécurisez les terminaux mobiles de vos salariés

Un ordinateur perdu n’est pas simplement un outil laissé dans une rame de métro. C’est aussi des données personnelles, et potentiellement sensibles, qui sont dans la nature et peuvent être entre de mauvaises mains. Ordinateur, tablette, téléphone… cela arrive suffisamment souvent pour vous en préoccuper. Sans pour autant enlever tous les équipements nomades qui permettent tout de même de gagner en efficacité !

Côté IT, vous pouvez utiliser des solutions de chiffrement des données pour qu’elles soient protégées partout. Côté utilisateurs, vous devez les sensibiliser au fait de ne jamais prêter leur appareil à un tiers. Bien entendu, ils doivent aussi vous informer immédiatement de la perte ou du vol d’un appareil afin que vous puissiez limiter les failles de sécurité.

 

N’acceptez pas un import de données sans avoir connaissance de son origine

Un nouveau commercial rejoint vos rangs et, ô bonheur, il vous propose son carnet d’adresses. La proposition est tentante, d’autant plus s’il travaillait avant chez votre principal concurrent ! Mais, méfiez-vous de sa bonne intention. Car il n’avait certainement pas le droit de partir avec ces données. Il s’agit dès lors d’un vol. Et rappelons-le, un vol est puni par la loi. Etant entreprise de destination des données, vous pourriez être accusée de vol, voire de recel de données. En d’autres termes, importer des données dans votre base sans en connaître la source est une mauvaise idée.

 

En conclusion, nous vous conseillons d’avoir une base de données piégée, c’est-à-dire contenant des informations volontairement erronées (une avenue devient une rue, un nom est écorché, un email est spécifiquement dédié à l’identification d’une faille de sécurité, etc). Faites des erreurs, mais veillez à ce qu’elles soient crédibles et qu’elles ne soient pas bloquantes pour l’envoi d’un message. Si vous recevez un document à cette fausse adresse, vous saurez que votre base de données a été piratée.

Enfin, puisque vos collaborateurs représentent un risque élevé en termes de sécurité des données, gardez en tête le fameux proverbe « mieux vaut prévenir que guérir ». Si malgré tout, vous deviez guérir une violation de données (ce qu’on ne vous souhaite pas !), tirez-en les leçons nécessaires pour mieux vous protéger.

Chez E-DEAL, on accorde une importance toute particulière à la protection des données personnelles, à la fois grâce à notre logiciel qui répond aux exigences du RGPD, mais aussi grâce à une sensibilisation et à des processus très poussés (gestion des droits d’accès, connexion externe via VPN, etc).

Partager cet article
Lire également

Les commentaires sont fermés.