Erreur n° 1: La direction ne prend pas au sérieux la sécurité informatique et la protection des données

Améliorez la situation. En tant que propriétaire ou membre de la direction, œuvrez pour la sécurité informatique et la protection des données et rédigez des directives concernant par exemple la gestion des mots de passe, des appareils mobiles, des informations, des e-mails et d’Internet. Montrez que le thème de la sécurité informatique et de la protection des données vous tient personnellement à cœur et veillez à introduire des mesures appropriées, et à les appliquer aussi.

Erreur n° 2: Utiliser des solutions cloud gratuites

Certes, les solutions cloud gratuites sont pratiques et facilement accessibles, mais elles ne constituent pas un lieu où l’on peut sauvegarder des documents confidentiels tels que des contrats de clients ou des listes avec des prix d’achat. Tenez compte du fait que les données que vous enregistrez dans des solutions cloud gratuites sont généralement stockées ailleurs qu’en Suisse et ne sont pas suffisamment protégées. Faites preuve de prudence avec les solutions cloud et misez au minimum sur des services cloud suisses certifiés.

Erreur n° 3: Les collaborateurs ne sont pas suffisamment sensibilisés

La perte ou le vol de données provoqués par un comportement imprudent et inadéquat de votre part ou de la part de vos collaboratrices et collaboratrices constituent l’un des plus grands dangers. Laisser un ordinateur portable professionnel sans surveillance dans une salle de conférence externe, écrire les mots de passe sur un post-it collé sur l’ordinateur ou enregistrer des documents confidentiels dans un Dropbox gratuit peut avoir de graves conséquences pour l’entreprise. Sensibilisez et formez vos collaboratrices et collaborateurs au thème de la sécurité informatique et de la protection des données. Cela en vaut la peine! Car les solutions de sécurité et les pare-feux les plus chers ne serviront à rien si un comportement inapproprié de la part de vos collaborateurs facilite des violations indésirables.

Erreur n° 4: Aucun budget pour la sécurité informatique et la protection des données

Le thème de la sécurité informatique et de la protection des données est trop vital pour être ignoré. Attaquez-vous au problème et dégagez un budget pour clarifier et optimiser la situation dans votre entreprise avec l’aide d’un conseiller externe. Adoptez pour cela une approche pragmatique: préférez prendre un peu moins de mesures mais appliquez-les. Vous éviterez ainsi que la sécurité informatique et la protection des données ne deviennent un gouffre financier. Lors du choix des mesures, il est recommandé de tenir compte des trois critères que sont les risques, la convivialité du système et les coûts.

Erreur n° 5: Aucune gestion du risque

Une gestion efficace du risque est le fondement de toute mesure dans le domaine de la sécurité informatique et de la protection des données. Réfléchissez simplement aux risques auxquels votre entreprises est exposée, et quel serait le pire scénario dans l’éventualité où les risques les plus importants se concrétiseraient. Posez-vous pour cela les questions suivantes:

• Quels sont les biens les plus précieux de la société que nous devons protéger dans le cadre de l’informatique et des données?
• Quels sont les menaces et les risques qui pèsent sur nos biens les plus précieux?
• Quels sont les risques et les faiblesses de notre infrastructure informatique?
• Quels dommages une faille de sécurité peut-elle provoquer pour notre entreprise?

Prévoyez ensuite des mesures de sécurité pour chaque risque identifié, évaluez les coûts de leur mise en œuvre et définissez des responsabilités et des délais. Sachez toutefois que la sécurité ne peut pas être garantie à 100%. Déterminez ensuite les risques résiduels que vous pouvez assumer et supporter. Les assurances contre la cybercriminalité sont une solution de plus en plus fréquente.

Erreur n° 6: Des projets ponctuels plutôt qu’une mission permanente

À l’ère de la transformation numérique, la situation initiale pour la sécurité informatique et la protection des données évolue de plus en plus rapidement. Considérez la sécurité informatique et la protection des données comme une mission permanente et non comme un projet avec un début et une fin. Et vérifiez régulièrement que votre informatique est toujours à jour en matière de sécurité.

Erreur n° 7: Des droits d’utilisation défaillants

Gérez les autorisations d’accès pour les utilisateurs et n’accordez à vos collaboratrices et vos collaborateurs que les droits d’accès dont ils ont besoin pour exécuter leur travail (principe du Need-to-know). Vérifiez tous les ans l’adéquation des autorisations des utilisateurs et établissez un processus d’entrée et de sortie efficace pour vos collaborateurs.

Erreur n° 8: Aucune mesure d’accompagnement au niveau organisationnel

Toute mesure technique concernant la sécurité informatique et la protection des données implique une mesure organisationnelle, à l’image d’une voiture qui doit régulièrement subir une révision. Par exemple, si vous faites installer un pare-feu, ce dernier doit en permanence être tenu à jour. Définissez pour cela des tâches, des responsabilités et des délais.

Bon à savoir

Le Règlement général sur la protection des données de l’UE (RGPD), entré en vigueur en mai 2018, régit à l’échelle européenne la façon dont les entreprises doivent gérer les données relatives aux personnes. Le RGPD s’applique également vis-à-vis des entreprises domiciliées en Suisse qui saisissent des données relatives à des utilisateurs d’Internet dans l’UE sur leur site web (p. ex. sous la forme de cookies) pour leur proposer dans l’UE des marchandises ou des services. Désormais, les entreprises doivent pour cela obtenir l’autorisation directement auprès des personnes concernées ou expliquer que l’intérêt qu’elles ont à collecter des données prédomine par rapport au droit fondamental des personnes concernées à la protection des données.