Bravo!
Si vous êtes sur cette page c’est peut être que vous avez résolu la première énigme de notre escape game, ou peut être simplement que la question de la confidentialité est un sujet qui vous intéresse
(ou les deux, et dans ce cas c’est encore mieux.).
La confidentialité est souvent présentée comme importante en entreprise. En revanche, si nous savons qu’il faut la respecter, il n’est pas toujours évident de saisir pourquoi, ni de connaître les bonnes pratiques à mettre en place.
J’ai donc décidé de publier une série d’articles au sujet de la confidentialité. Ils seront accessibles soit directement sur mon site internet soit, pour les plus joueurs, en résolvant les énigmes que je publie sur mon compte linkedin.
Le contenu de chaque article vous aidera à résoudre l’énigme suivante.
Maintenant que vous avez compris que la confidentialité c’est important pour la valeur de votre entreprise, comme élément de différenciation et pour répondre à vos obligations contractuelles ou légales (règlementation sur la cybersécurité et sur la protection des données personnelles avec le RGPD et la loi informatique et libertés notamment), il reste à savoir quoi mettre en place pour protéger les informations confidentielles de votre société.
Afin de garantir la confidentialité des données de votre entreprise, il est important de s’assurer de :
- Signaler, systématiquement, les documents et informations sensibles que vous ne souhaitez pas voir diffuser en les marquant avec la mention “confidentiel” ou avec toute autre mention similaire permettant d’identifier leur caractère confidentiel (documents stratégiques ou financiers, offres commerciales, documents techniques, fichier contenant des données à caractère personnel, etc.). Ce marquage, en filigranne par exemple, doit intervenir aussi bien lorsque les documents sortent de l’entreprise que lorsque leur utilisation est exclusivement interne.
- Limiter le partage de ces informations aux seules personnes qui ont véritablement besoin d’y avoir accès. A cet effet, il peut être opportun de rédiger une politique d’habilitations générale ou par projets. La politique d’habilitation est une mesure organisationnelle qui permet d’identifier les personnes qui ont des droits d’accès aux différentes informations en fonction de leur nature et de leur niveau de sensibilité et de déterminer les personnes décisionnaires quant à l’attribution de ces droits d’accès.
- S’assurer de la fiabilité de ces personnes en les interrogeant sur leurs pratiques en matière de confidentialité, par exemple, et en les sensibilisant sur son importance grâce à la mise en place d’un programme de formation dédié à la confidentialité des données.
- Conclure un accord de confidentialité (également dénommé NDA) avant tout échange d’information (avec les prospects, les fournisseurs, les partenaires, et très généralement, chacun de vos interlocuteurs). Signer un NDA permet de protéger son entreprise contre la réutilisation des informations paratagées à des fins de concurrence ou la divulgation d’informations sensibles qui pourrait nuire à l’image de l’entreprise, par exemple. Le signataire de l’accord de non-divulgation pourra voir sa responsabilité engagée s’il ne respecte pas les engagements qu’il a pris aux termes de l’accord.
- Protéger vos locaux en mettant en place des dispositifs de contrôle d’accès (badges, alarmes et dispositifs anti-intrusion, ne pas laisser les visiteurs avoir accès aux espaces qui ne leur sont pas réservés sans être accompagnés).
- Sécuriser vos systèmes d’information grâce à des mesures proportionnées au niveau de sensibilité des données que vous traitez. Il est recommandé de disposer d’une politique de sécurité (PSSI).
Et pour cela, les précautions élémentaires sont les suivantes :
- Utiliser des mots de passe forts conformes aux recommandations de la CNIL
- Sécuriser les postes de travail (anti-virus, pare-feu, verrouillage automatique des sessions),
- Créer une politique d’habilitations et journaliser les accès
- Mettre régulièrement à jour les logiciels que vous utilisez
- Effectuer des sauvegardes fréquentes et régulières
- Sécuriser l’accès WI-FI de votre entreprise
- Etre prudent lors de vos déplacements (éviter la connexion aux WIFI publics, par ex.), en utilisant vos téléphones portables ou vos tablettes
- Faire attention aux emails que vous recevez et notamment avant d’ouvrir une pièce jointe ou de cliquer sur un lien hypertexte
- Systématiser le chiffrement des données stockées et partagées
- Sensibiliser vos collaborateurs et partenaires
- Prévoir des procédures pour réagir rapidement en cas d’incident ou de violation de données
Il peut être judicieux d’intégrer ces règles de sécurité au sein d’une politique de sécurité et d’une charte informatique opposable aux personnes qui utilisent le SI.
Pour en savoir plus sur les bonnes pratiques en matière de sécurité informatique, vous pouvez lire les documents suivants :
Guide de bonnes pratiques de l’informatique, ANSSI et CPME
Guide de la sécurité des données personnelles de la CNIL
Enigme réalisée par Alice Millot