Comment protéger les données de l’entreprise dans une culture ouverte ?
Adopter une culture d’entreprise ouverte signifie responsabiliser et faire confiance aux employés.
Aujourd’hui, les entreprises utilisent des données sensibles en quantité. Parmi celles-ci, nous retrouvons la finance, les mesures de performances, et les informations relatives aux concurrents et aux clients. La façon dont chaque employé utilise et manipule ces informations de façon interne, et sans exposer l’entreprise à des risques juridiques est le défi quotidien des équipes de sécurité.
Des outils tels que les réseaux sociaux d’entreprise et la tendance du BYOD (bring your own device) augmentent les risques de “fuite”, mettant encore plus de pression sur les équipes informatiques qui doivent protéger les actifs informatiques tout en faisant accroître le potentiel de l’entreprise. Quels sont les problèmes à étudier et à anticiper, et quelles sont les mesures qui peuvent être prises afin d’assurer la protection des données de l’entreprise dans une culture d’entreprise ouverte ?
Les différents problèmes de sécurité
La sécurité couvre un large éventail de sujets, mais quand nous regardons à travers le prisme des entreprises à culture ouverte, ce sont ces points là qui sont les plus fréquents :
Le contrôle d’accès : Qui peut accéder aux systèmes ? Si “seulement les personnes avec des adresses électroniques professionnelles” est la réponse à cette question, qu’en est-il alors des fournisseurs et des utilisateurs externes, tels que les partenaires avec lesquels vos employés doivent interagir ?
La Gouvernance: Dans un environnement ouvert tel qu’un réseau social d’entreprise, les personnes partagent librement, et créent souvent des groupes distincts. Les compartiments de données sont, par conséquent, créés organiquement, et deviennent des espaces où la direction ne peut pas facilement exercer un contrôle.
La propriété intellectuelle : Les employés peuvent facilement partager, sans s’en rendre compte, des documents dont la propriété intellectuelle est protégée, et ainsi exposer l’entreprise à des risques juridiques sans le savoir. En revanche, lorsque du contenu se crée de la collaboration avec des utilisateurs externes dans des environnements collaboratifs, les frontières de la propriété intellectuelle ne sont pas si évidentes.
Pour atténuer ces problèmes de sécurité, les responsables informatiques peuvent avoir recours à une grande variété de technologies tels que le cryptage, la gestion des mots de passe, la rapide suppression ou suspension de certains comptes, et les systèmes de contrôle des accès.
Tandis qu’il est obligatoire d’adopter de telles solutions technologiques, elles restent insuffisantes. Il existe, en effet, d’autres méthodes douces qui ne nécessitent aucune mesure technique répressive, mais qui gravitent autour du marchepied d’une entreprise ouverte : les gens.
Tenir les employés responsables de leur comportement
Des décennies durant, la toute première chose que les entreprises ont mis en place était d’instaurer des politiques de sécurité quand ils accordaient à leurs employés l’accès aux ressources informatiques. Certains experts suggèrent qu’ils incluent certaines politiques de sécurité comme faisant partie du code de conduite des employés, que tout le monde doit lire et accepter.
Cette méthode s’est montrée très efficace et tient responsable tout employé de ses actions. Néanmoins, beaucoup d’experts ont noté que ces politiques devraient être simples et courtes pour être efficaces. Autrement, les employés n’en tiendront tout simplement pas compte.
Éduquer les employés
Jamais aucun document relatif à la politique de l’entreprise ne fera de vos employés des experts en sécurité. Certains employés pourraient, par exemple, poster une information confidentielle sur un réseau social d’entreprise dont l’accès n’est pas limité.
Il est donc urgent et primordial de compléter ces politiques avec des sessions de formation en sécurité que chaque employé doit suivre. Ces sessions de formation devraient aider les employés à comprendre les menaces, les conséquences de leur comportement, et les risques qui y sont liés.
De plus, les responsables doivent être mis au courant de tous les programmes de sensibilisation à la sécurité et sont, à leur tour, responsables d’en informer leurs équipes. Les responsables sont eux aussi contraints de respecter les restrictions relatives à la sécurité.
Marquer les documents
Une technique assez simple est d’inclure des “drapeaux” de sécurité tels que “Confidentiel”, “Public”, ou “Limité”, sur tous vos documents.
Cela ne doit pas être très compliqué. La seule présence de ces drapeaux, ou indications, incitera les auteurs à penser à la confidentialité lors de l’écriture d’un document, et à choisir la marque appropriée. D’autre part, les lecteurs les verront inévitablement lorsqu’ils partageront ces mêmes documents.
Cette méthode paraît sûrement simpliste, mais elle n’en est pas moins efficace. D’ailleurs, elle l’est tellement que des entreprises telles que CISCO l’ont massivement adoptée !
Développer des zones de sécurité
Certains outils, tels qu’un logiciel collaboratif ou un dépôt de documents, contiennent souvent toutes sortes d’informations privées. Néanmoins, l’accès à ces plateformes est accessible à tous les employés, les fournisseurs, et parfois les clients ou les partenaires.
Quand beaucoup de personnes peuvent voir l’information, il est facile de ne plus savoir qui voit quoi. Vous pouvez aider les employés à déterminer s’ils sont dans un espace public ou privé en utilisant des des indices visuels, des logos, des couleurs ou des appellations, qui peuvent indiquer si l’employé se trouve en lieu sûr pour partager l’information.
Mettre en place des espaces de sensibilisation à la sécurité
Les équipes de sécurité sont généralement petites et, souvent, elles n’arrivent pas à faire comprendre leur rôle aux employés. Les questions de sécurité sont rarement la préoccupation première d’un employé qui a déjà ses propres tâches et soucis quotidiens. Il est vrai qu’expliquer les questions de sécurité et l’importance de cette dernière requiert de la pédagogie.
Dans un environnement de travail ouvert plus qu’ailleurs, vous avez la possibilité de créer des espaces dédiés, tels que des forums de discussion, où l’équipe de sécurité peut poster l’information et tenir à jour les employés sur les menaces de sécurité, les incidents, et les changements de politique. Ces canaux de communications sont des endroits privilégiés où l’employé peut poser des questions, soulever des préoccupations, et notifier des alertes sécurité.
Créer une culture de protection des données
Les astuces suggérées plus haut devraient vous aider à protéger vos données d’entreprise, surtout dans une culture d’entreprise ouverte où tant de choses reposent sur les gens.
Aucune technologie ne garantit une sécurité parfaite ou infaillible, raison pour laquelle de nombreux experts recommandent de complètement intégrer la sécurité à votre culture d’entreprise.
Tout comme faire du sport fait partie de la construction d’un mode de vie sain, se comporter prudemment quand il s’agit des données de l’entreprise doit faire partie de la vie professionnelle des employés.
Les pratiques de sécurité de données doivent être alignées à votre stratégie commerciale pour que vous puissiez ainsi trouver l’équilibre entre risque et agilité. Bien entendu, toutes les entreprises ne sont pas confrontées aux mêmes défis, mais chaque entreprise peut créer une culture de vigilance et de sécurité.
Découvrez comment eXo Platform peut vous aider à transformer votre entreprise !