Depuis 2018, l’acronyme GDRP ou RGPD est dans toutes les têtes. Même si son instauration est obligatoire, c’est parfois difficile d’être en conformité. Pourtant, certaines règles sont faciles à mettre en place dans votre entreprise, pour assurer un minimum de sécurité des données personnelles ! Voici un top 5 des choses à faire, rapidement et facilement !
GDPR et sécurité
Ces règles strictes ne sont pas là pour vous ennuyer. Malgré les difficultés qu’elles semblent représenter au quotidien, les suivre peut vous apporter de nombreux bénéfices. Pourquoi ? Parce qu’elles protègent les données personnelles de votre entreprise et de vos collaborateurs. De plus, elles ne sont pas si compliquées que cela. Vous ne me croyez pas ? Lisez la suite !
1- Politique des mots de passe : on passe à l’offensive !
Le B.A.BA de la protection de vos données personnelles. Et pourtant si peu souvent prise au sérieux ! A force d’avoir à en mettre partout, on a souvent 2 réflexes : mettre le même à chaque fois ou abuser du “mot de passe oublié”. Mais imaginez ce qu’il se passera si quelqu’un a accès au moindre de vos outils, voire à votre boîte mails ! Alors, oubliez les contraintes et passez à l’offensive !
- Rendez-le contraignant : si vous saviez à quelle vitesse un hacker peut retrouver le nom de votre tortue (que vous utilisez depuis 3 ans !)
- Il faut obliger à le changer souvent : Microsoft propose cette possibilité, à la récurrence souhaitée (mettez au moins tous les ans, c’est le minimum syndical !)
- Pensez double authentification ! Au moins, cela apporte une sécurité supplémentaire ! Si un de vos collaborateurs se fait hacker son compte, le pirate ne pourra pas passer cette ultime barrière.
- Appliquez les bonnes pratiques en matière de partage de mot de passe. Si on doit donner son mot de passe à un collègue (en cas d’extrême nécessité), on l’envoie en 2 fois : un mail pour l’identifiant, un message instantané pour le mot de passe par exemple. Et ensuite on change son mot de passe ! So GDPR !
2- Verrouillage des sessions : éviter les regards indiscrets
Voilà une bonne habitude à prendre ! C’est facile, rapide, et cela évite bien des désagréments… Pensez à verrouiller votre session à chaque fois que vous vous absentez de votre bureau, même pour aller chercher un document à l’imprimante.
Et pour les plus tête-en-l’air, instaurez le verrouillage automatique des sessions. Paramétrable à la durée voulue (la CNIL préconise 5 min), cela apporte une aide automatisée pour l’application des règles GDPR.
3- Gestion des droits dans les dossiers partagés : les secrets sont bien gardés
C’est un détail que l’on oublie souvent : la gestion des droits dans les serveurs de fichier. Certains documents sont confidentiels et ne doivent pas être vus par tout le monde. Quels sont les réflexes pour éviter les impairs :
- Politique stricte pour les accès des nouveaux : on ne calque pas les droits sur la personne partie, et on contrôle rigoureusement les accès de chaque nouvel arrivant
- On laisse ce travail à des professionnels ; prestataire informatique, responsable informatique, peu importe, il faut que cela soit bien fait !
- Vous pouvez utiliser des logiciels de contrôle des droits, tel que FileAudit : scan, vérification, alertes en cas de déplacement massif de dossiers…
- Apprenez les bonnes pratiques à vos collaborateurs : ne pas déplacer des dossiers n’importe où, ne pas donner les droits à ses collègues, respecter la confidentialité…
Vigilance, vigilance ! On ne réalise pas la criticité de cette gestion du file system, jusqu’au jour où l’on a un manquement… Et là, difficile de revenir en arrière !
4- Usage d’internet contrôlé ! Fermer les accès aux fraudeurs
L’usage d’internet de manière raisonnée est aussi un bon moyen de ne pas divulguer des données personnelles. Grâce à un pare-feu compétent, vous pouvez bloquer certains accès, non liés au professionnel. Pourquoi, me direz-vous ? Parce qu’une brèche ouverte sur le réseau de votre PME peut amener toute l’entreprise à être touchée. En ce moment plus que jamais, il faut sensibiliser vos collaborateurs à un usage vigilant du web. Ne pas cliquer sur un lien louche (mails de phishing), ne pas donner ses identifiants sur un lien non vérifié (https sinon rien), ne pas fournir son adresse mail professionnel pour un usage personnel (marketplaces…).
Si vous souhaitez ajouter un module de protection aux boîtes mail de vos utilisateurs, vous pouvez installer Microsoft Defender : un outil qui scanne tous les mails avant de les remettre à son destinataire, pièce jointe comprise !
5- Rangement de son bureau comme de son serveur de fichiers !
Que rien ne traîne ! Pas de contrat confidentiel, pas de document RH, pas de liste de mots de passe dans un petit carnet (voir point numéro 1), pas de devis indécent… Gérez votre bureau physique comme votre bureau virtuel ! Ne laissez rien trainer pour éviter la tentation !
Une autre règle GDPR, d’ailleurs, facile à appliquer : fermer à clé les bureaux critiques. Par exemple le bureau de la comptabilité ou de la gestion RH… où les infos confidentielles sont souvent gardées au format papier.
Et pour aller plus loin (et si vous aimez les gros trousseaux de clés) une serrure sur la porte de la salle serveurs, accès réservé aux personnes habilitées !
Vous voyez, c’est facile !
Mais surtout indispensable !
Pour vous prouver à quel point un non respect de l’une de ces règles GDPR peut être fatal, voici deux illustrations qui peuvent malheureusement se concrétiser :
- Le mail à l’intégralité de l’entreprise, envoyé d’une session restée ouverte… La personne s’absente, une autre, malveillante, fouille dans sa boîte mails jusqu’à trouver un message compromettant, qu’il envoie à toute l’entreprise. Et là, rien à faire… La faille est humaine, la session étant restée ouverte…
- Le document qu’il ne fallait pas voir : un accès de droit mal paramétré et un nouveau qui peut accéder à des dossiers dont il n’a pas la charge ! Heureusement que les salariés sont majoritairement bienveillants.
Ne jouez pas avec la sécurité des données personnelles. D’autant plus que c’est un sujet de plus en plus important ! Si vous êtes amené(e) à répondre à un appel d’offre, à prendre un sous-traitant, cette question sera fatalement abordée ! Alors, autant être déjà prêt !