Sécurité informatique et protection des données

Voici les erreurs que les petites entreprises devraient éviter

La sécurité informatique et la protection des données donnent de plus en plus de fil à retordre aux petites entreprises en raison de la transformation numérique. Wolfgang Sidler, propriétaire de l’entreprise de conseil en informatique Sidler Information Security, évoque les principales erreurs que les dirigeantes et les dirigeants d’une petite entreprise devraient éviter.

  • Améliorez la situation. En tant que propriétaire ou membre de la direction, œuvrez pour la sécurité informatique et la protection des données et rédigez des directives concernant par exemple la gestion des mots de passe, des appareils mobiles, des informations, des e-mails et d’Internet. Montrez que le thème de la sécurité informatique et de la protection des données vous tient personnellement à cœur et veillez à introduire des mesures appropriées, et à les appliquer aussi.

  • Certes, les solutions cloud gratuites sont pratiques et facilement accessibles, mais elles ne constituent pas un lieu où l’on peut sauvegarder des documents confidentiels tels que des contrats de clients ou des listes avec des prix d’achat. Tenez compte du fait que les données que vous enregistrez dans des solutions cloud gratuites sont généralement stockées ailleurs qu’en Suisse et ne sont pas suffisamment protégées. Faites preuve de prudence avec les solutions cloud et misez au minimum sur des services cloud suisses certifiés.

  • La perte ou le vol de données provoqués par un comportement imprudent et inadéquat de votre part ou de la part de vos collaboratrices et collaboratrices constituent l’un des plus grands dangers. Laisser un ordinateur portable professionnel sans surveillance dans une salle de conférence externe, écrire les mots de passe sur un post-it collé sur l’ordinateur ou enregistrer des documents confidentiels dans un Dropbox gratuit peut avoir de graves conséquences pour l’entreprise. Sensibilisez et formez vos collaboratrices et collaborateurs au thème de la sécurité informatique et de la protection des données. Cela en vaut la peine! Car les solutions de sécurité et les pare-feux les plus chers ne serviront à rien si un comportement inapproprié de la part de vos collaborateurs facilite des violations indésirables.

  • Le thème de la sécurité informatique et de la protection des données est trop vital pour être ignoré. Attaquez-vous au problème et dégagez un budget pour clarifier et optimiser la situation dans votre entreprise avec l’aide d’un conseiller externe. Adoptez pour cela une approche pragmatique: préférez prendre un peu moins de mesures mais appliquez-les. Vous éviterez ainsi que la sécurité informatique et la protection des données ne deviennent un gouffre financier. Lors du choix des mesures, il est recommandé de tenir compte des trois critères que sont les risques, la convivialité du système et les coûts.

  • Une gestion efficace du risque est le fondement de toute mesure dans le domaine de la sécurité informatique et de la protection des données. Réfléchissez simplement aux risques auxquels votre entreprises est exposée, et quel serait le pire scénario dans l’éventualité où les risques les plus importants se concrétiseraient. Posez-vous pour cela les questions suivantes:

    • Quels sont les biens les plus précieux de la société que nous devons protéger dans le cadre de l’informatique et des données?
    • Quels sont les menaces et les risques qui pèsent sur nos biens les plus précieux?
    • Quels sont les risques et les faiblesses de notre infrastructure informatique?
    • Quels dommages une faille de sécurité peut-elle provoquer pour notre entreprise?

    Prévoyez ensuite des mesures de sécurité pour chaque risque identifié, évaluez les coûts de leur mise en œuvre et définissez des responsabilités et des délais. Sachez toutefois que la sécurité ne peut pas être garantie à 100%. Déterminez ensuite les risques résiduels que vous pouvez assumer et supporter. Les assurances contre la cybercriminalité sont une solution de plus en plus fréquente.

  • À l’ère de la transformation numérique, la situation initiale pour la sécurité informatique et la protection des données évolue de plus en plus rapidement. Considérez la sécurité informatique et la protection des données comme une mission permanente et non comme un projet avec un début et une fin. Et vérifiez régulièrement que votre informatique est toujours à jour en matière de sécurité.

  • Gérez les autorisations d’accès pour les utilisateurs et n’accordez à vos collaboratrices et vos collaborateurs que les droits d’accès dont ils ont besoin pour exécuter leur travail (principe du Need-to-know). Vérifiez tous les ans l’adéquation des autorisations des utilisateurs et établissez un processus d’entrée et de sortie efficace pour vos collaborateurs.

  • Toute mesure technique concernant la sécurité informatique et la protection des données implique une mesure organisationnelle, à l’image d’une voiture qui doit régulièrement subir une révision. Par exemple, si vous faites installer un pare-feu, ce dernier doit en permanence être tenu à jour. Définissez pour cela des tâches, des responsabilités et des délais.

  • Le nouveau Règlement général sur la protection des données de l’UE (RGPD) est entré en vigueur le 25 mai 2018. Il régit à l’échelle européenne la façon dont les entreprises doivent gérer les données relatives aux personnes. Le RGPD s’applique également vis-à-vis des entreprises domiciliées en Suisse qui saisissent des données relatives à des utilisateurs d’Internet dans l’UE sur leur site web (p. ex. sous la forme de cookies) pour leur proposer dans l’UE des marchandises ou des services. Désormais, les entreprises doivent pour cela obtenir l’autorisation directement auprès des personnes concernées ou expliquer que l’intérêt qu’elles ont à collecter des données prédomine par rapport au droit fondamental des personnes concernées à la protection des données.

À propos de l’expert

Wolfgang Sidler est conseiller en sécurité et propriétaire de la société Sidler Information Security GmbH qu’il a fondée en 2009 à Hünenberg. Il conseille les PME et les grandes entreprises dans le domaine de la sécurité informatique et de la protection des données. Il travaille en outre depuis 2009 pour le préposé à la protection des données du canton de Lucerne et enseigne à l’université de Lucerne à la faculté des études de droit. Auparavant, cet informaticien de gestion titulaire d’un Master of Advanced Studies in Information Security a travaillé pour diverses banques, assurances et entreprises en tant qu’expert en sécurité, également au niveau international.

Ceci pourrait également vous intéresser