La prise en compte du facteur humain dans la transition digitale
Les données numériques sont plus nombreuses mais aussi plus exposées La généralisation des outils numériques et la dématérialisation des documents de travail ont d’une part poussé les entreprises à renforcer la cybersécurité et la gestion des accès, par crainte de voir un vol de données nuire à son image ou à sa performance. D’autre part, le renforcement de la politique des protection des données à caractère personnel permet à l’utilisateur de protéger les données qui le concernent et de diminuer le risque d’exposition de sa vie privée.
L’accès professionnel à distance favorise le risque de cybermalveillance
Aujourd’hui de nombreux salariés ont des outils professionnels nomades (téléphone mobile, PC portable, tablettes…) qu’ils peuvent utiliser partout où ils se déplacent (en salles de réunions, chez les clients, dans les transports en commun etc.). Sur ces outils, certaines entreprises (c’est le cas d’Air Liquide), permettent aux collaborateurs d’accéder à leur boîte mail et aux outils de travail, y compris sur un réseau internet personnel et public (seules quelques applications sensibles demandent une connexion interne dans les locaux d’ALFI). Cela permet aux personnels avec un statut itinérant d’avoir un cadre de travail équivalent aux autres salariés. Cela peut également augmenter la productivité des personnels lors de longs déplacements professionnels en train ou en avion par exemple. Cependant, ces appareils sont autant de portes d’entrée qui pourrait nuire à l’entreprise si des informations sensibles étaient dérobées. Pour contrer cela, ALFI a mis en place plusieurs règles de bonnes pratiques pour contrer l’usurpation d’identité : Tout d’abord, le PC portable du collaborateur est crypté, l’appareil ne pourra pas démarrer si la clé est incorrecte. Ensuite le mot de passe de session d’utilisateur doit changer tous les 30 jours. Puis chaque mot de passe entré sur l’appareil est soumis à une validation en deux étapes via un code sur le téléphone personnel de l’utilisateur. Enfin les appareils externes type smartphones et tablettes doivent être enrôlés. C’est-à-dire que pour accéder aux données sensibles sur un appareil externe, une procédure de vérification d’identité doit être réalisée au préalable sur un site ALFI. On pourrait alors penser que ces bonnes pratiques et ces règles de sécurité n’ont pas de répercussion sur les collaborateurs. En réalité, ce n’est pas le cas et la répétition trop fréquentes peut être perçue comme une contrainte. ➢ Des règles de prévention efficaces mais qui risquent d’entraver la productivité ainsi que la gestion de crise : Le nombre d’outils et d’applications internes se multiplient (logiciels de production, logiciel RH, logiciel de déclaration d’événements, logiciel de plans d’actions, logiciel de maintenance…). De plus, il est fréquent que le mot de passe habituel pour ces applications n’ait pas les mêmes règles, afin de ne pas avoir un mot de passe unique pour toutes les applications. Il m’est déjà arrivé plusieurs fois d’effectuer la récupération du mot de passe avant que je tente de mettre mes renseignements. La digitalisation de certains processus de production nécessitent d’être connecté avec sa session sur l’outil pour la traçabilité. Si le collaborateur ne se rappelle plus de son mot de passe, la récupération peut être ressentie comme une perte de temps parfois agaçante. J’ai remarqué la même contrainte pour les personnels d’astreinte qui souhaitent se servent de la tablette uniquement en cas de situation d’urgence pour ouvrir les POI. S’ils n’effectuent pas de connexion presque journalière, le risque de devoir faire une mise à jour logicielle ou de devoir changer un mot de passe avant d’accéder au plan d’urgence augmente, ce qui est évidemment incompatible avec la gestion de crise. Enfin il y a les bonnes pratiques à appliquer par les utilisateurs eux-mêmes. Dans la majorité des intrusions et des actes de cybermalveillance, la faille venait d’une action ou de l’absence d’action humaine. ➢ L’humain est le point le plus sensible en matière de cybermalveillance, la formation des collaborateurs est donc essentielle : En effet aujourd’hui, les attaques virales, les attaques par déni de service, les demandes de rançon et les tentatives d’intrusion sont monnaie courante dans le milieu professionnel. Principalement le mobile est soit l’argent soit l’espionnage industriel. Le retour d’expérience le montre, il y a des risques partout : dans les espaces publics, dans les transports en commun, même dans les propres locaux de l’entreprise. De ce fait, il est important pour les entreprises de sensibiliser leurs collaborateurs à ces risques afin qu’ils puissent détecter les signaux annonciateurs et qu’ils puissent appliquer les bonnes consignes pour prévenir le risque.
– Une nouvelle réglementation européenne pour protéger la vie privée des utilisateurs
Tout au long de notre parcours professionnel les entreprises peuvent être amenées à utiliser, transmettre et à archiver des données personnelles qui nous concernent. Aujourd’hui les entreprises doivent considérer toutes ces données comme sensibles et doivent garantir la protection de celles-ci afin d’empêcher qu’elles ne soient divulguées voire même consultées. Les organisation sont tenues également d’une transparence intégrale de l’usage de ces informations pour l’utilisateur. Ces droits ont été renforcés le 25 mai 2018 avec l’entrée en vigueur d’un texte de loi adopté en 2016 : le RGPD. ➢ Qu’est-ce que le RGPD ? Le RGPD (Règlement Général sur la Protection des Données) est un texte de loi européen qui a été adopté en avril 2016. Ce texte de référence porte sur la protection des données à caractère personnel. Le RGPD s’inscrit dans une profonde transformation et adoption du numérique par la plupart des citoyens européens. Le changement dans les usages et les comportements a poussé l’Union Européenne à remplacer la directive sur la protection des données personnelles qui datait de 1995. Aix-Marseille Université – Faculté de Pharmacie – 27 bd Jean Moulin – CS 30064 – 13385 Marseille cedex 05 – France Tél. : +33 (0)4 91 83 55 33 – Fax : +33 (0)4 91 80 94 69 – www.master-prnt.com – Page 31/57 – Note : On parle aussi de GDPR pour General Data Protection Regulation en anglais. S’il tend à protéger la vie privée des internautes européens, ce texte a des répercussions très fortes sur les professionnels et les entreprises qui collectent des données. Dès qu’une entreprise a en sa possession des données à caractère personnel, elle est concernée par le RGPD. Pour le 25 Mai 2018, afin d’être en conformité avec les exigences du nouveau réglement, ces entreprises devaient avoir pris les mesures de protection suffisantes. ➢ Les objectifs du RGPD : – Renforcement du droit des citoyens majeurs et mineurs – Responsabilisation des acteurs de la donnée (entreprises et intermédiaires) – Renforcement du contrôle et application des sanctions sur toute l’Europe ➢ Quelques actions phares que les entreprises ont dû mettre en place : Je ne pourrai pas lister la totalité des exigences contenues dans les principales en quelques principes ci-dessous : ● Être totalement transparent sur le traitement de données personnelles La collecte des données est très strictement encadrée. Il est impossible de récupérer des données personnelles sans un accord clair et intelligible de la part de la personne. L’entreprise doit obtenir un consentement et doit pouvoir le prouver sur l’utilisation future des données.