Amener vos employés à prendre la sécurité au sérieux

Pour protéger les informations importantes stockées sur les ordinateurs, vous pouvez dans un premier temps tenter de sensibiliser vos employés afin qu'ils évitent les comportements à risque : taper un mot de passe au vu et su d'autres personnes, ouvrir des pièces jointes sans se méfier et télécharger ou installer des logiciels provenant de sources non autorisées.

La Computing Technology Industry Association (CompTIA), un groupe informatique international, a récemment publié un rapport sur la sécurité informatique dans les entreprises. Ce rapport établit que presque la moitié des violations de sécurité sont, à des degrés divers, liées à une erreur humaine. L'analyse attribue les erreurs à un manque de connaissances relatives à la sécurité informatique, à un manque de formation ou au non-respect des procédures de sécurité.

Comment faire pour que les employés de votre entreprise prennent la sécurité des informations plus au sérieux ? Pour réussir, votre action doit être continue. Si vous ne demandez qu'une fois par an à vos employés de changer leur mot de passe, vous ne parviendrez jamais à éveiller chez eux une prise de conscience susceptible d'entraîner, à terme, une réduction efficace des risques de sécurité.

Afin d'encourager une plus grande coopération de vos employés, voici quatre conseils pour faire de la sécurité une priorité dans toute l'entreprise.

1. Parler de la sécurité
L'envoi de mémos relatifs à la sécurité ou la publication de votre stratégie de sécurité sont, bien évidemment, des actions importantes. Mais il peut être également extrêmement bénéfique de parler ouvertement de sécurité avec vos employés. À la fin d'une réunion, par exemple, assurez-vous que tous utilisent Microsoft Update afin d'installer les mises à jour Windows et Office nécessaires pour protéger vos logiciels contre les attaques. Tous comprendront ainsi que la sécurité informatique constitue, pour vous, une priorité.

Abordez également le problème de la sécurité informatique avec tout nouvel employé, avant même qu'il ne s'assoie à son PC. Parlez-en avec lui avant de lui fournir son mot de passe de connexion.

2. Créer une procédure d'utilisation acceptable
Une procédure d'utilisation acceptable est un document indiquant aux employés ce qu'ils peuvent et ce qu'ils ne peuvent pas faire avec le matériel informatique de l'entreprise. Indiquez ce que vous souhaitez par écrit. Ce document peut concerner la création de mots de passe, la fréquence de changement de mot de passe et l'ouverture de pièces jointes en provenance d'expéditeurs inconnus. Il peut également inclure des interdictions portant sur l'installation de logiciels non autorisés sur les ordinateurs. Ce document doit aussi indiquer la sanction applicable pour toute violation de cette procédure (sanction pouvant aller jusqu'au licenciement) et doit être signé par chaque employé. En tant que propriétaire ou directeur de l'entreprise, vous devez signer un exemplaire de cette procédure.

Si votre procédure est longue et détaillée, vous pouvez faire une présentation simplifiée des points principaux, sur une page, et la distribuer afin que vos employés puissent l'afficher près de leurs postes de travail.

3. Présenter le mode de traitement des informations sensibles
Outre une procédure d'utilisation acceptable, vous pouvez également créer un document présentant le mode de traitement des informations sensibles. Ce document doit présenter le type de courriel ou de document que les employés sont autorisés à transmettre à l'extérieur de l'entreprise, le mode de traitement des matériaux protégés par droit d'auteur, le mode de partage des informations sur les clients et les types d'information pouvant être partagés. Ce document peut également contenir des avertissements indiquant aux employés qu'ils ne doivent pas tenter d'accéder à des fichiers pour lesquels ils ne disposent pas de droits en lecture ou en écriture, et précisant le type de courriel qu'ils doivent enregistrer ou supprimer. Ce document doit également être distribué à vos employés afin qu'ils puissent en prendre connaissance. Ils doivent signer leur exemplaire et vous le remettre.

4. Choisir le responsable de la sécurité de votre entreprise
Vous devez choisir le responsable de la sécurité et informer les employés que la personne désignée a pour mission de s'occuper des questions de sécurité et de résoudre les éventuels problèmes. Si votre entreprise compte des informaticiens, il est probable que le responsable de la sécurité sera issu de ce groupe. Toutefois, si un autre employé, petit génie de l'informatique, ou vous-même, gérez les systèmes informatiques, l'un de vous deux peut parfaitement être le responsable informatique. Si possible, le responsable de la sécurité doit effectuer des bilans de sécurité avec d'autres employés, à leur poste de travail.

Créer un environnement de travail dans lequel la sécurité est une priorité absolue requiert un effort collectif dont l'impulsion première doit être donnée par les dirigeants de l'entreprise. La protection des informations ne peut être mise en place que si les propriétaires et les directeurs ont conscience du problème et donnent l'impulsion nécessaire.

Liens produits

Outils

Haut de la page