Big Data et confidentialité : la conséquence des violations de sécurité pour les collaborateurs

781 violations de données ont eu lieu aux États-Unis l’année dernière, et les prévisions annoncent que le risque augmentera de manière exponentielle dans les années à venir, selon l’ITRC (le centre de ressources des identités usurpées). La confidentialité des données est d’ailleurs l’une des menaces les plus importantes auxquelles les entreprises ont été confrontées cette année.

Les violations de ces dernières années chez des entreprises telles que Sony, Target, Home Depot et Anthem ont fait les gros titres et ont dévoilé les données personnelles de millions de personnes, sans compter les correspondances personnelles et rumeurs en tout genre. Les incidents de ce genre ne sont pas seulement l’angoisse des RP car ils peuvent faire chuter les ventes et porter atteinte à la réputation de la marque, il y a bien des conséquences humaines subies par les personnes impliquées : les clients, les partenaires et en particulier, les employés.

Après n’importe quel incident de violation de données, le moral des employés est affecté et on observe une baisse de productivité mais aussi des reproches envers les personnes impliquées ainsi qu’une peur des conséquences sur leur carrière. Cela engendre également des coûts internes lourds : après l’incident chez Sony, par exemple, l’entreprise a payé 8 millions de dollars en dommages et intérêts à ses employés pour identité usurpée, informations personnelles compromises, et a aussi assuré les coûts engendrés par les actions en justice.

La protection du Big Data, de la confidentialité et de vos collaborateurs signifie garder les informations en sûreté et prévoir une réponse mesurée si un incident a lieu.

L’importance de maintenir la sécurité du Big Data

Il existe différents types de violation de données. Comme le liste l’ITRC, le piratage occupe la première place, suivi par les « erreurs ou négligence d’un employé » et les « e-mails involontaires/exposition sur Internet. » Les incidents de sécurité peuvent être malveillants, mais souvent, ils ne le sont pas, une exposition peut provenir d’une chose aussi simple que la tentative de réparer un disque dur, comme l’incident qui aurait pu exposer les fiches personnelles de 70 millions de vétérans en 2008.

Maintenir les données en sécurité n’est pas une responsabilité qu’il faut prendre à la légère, mais cela peut aussi être stressant et c’est peut-être ironiquement là que le risque d’incident est le plus fort.

Une enquête a trouvé que « des exigences de sécurité de l’information lourdes, complexes et ambigües » peuvent créer une énorme pression sur les employés, ce qui les rend plus enclins à violer les politiques de sécurité de l’information établies. D’autres études ont démontré que les personnes utilisent souvent des « techniques de neutralisation » en minimisant l’importance ou en ignorant certaines valeurs, comme pour justifier les violations des politiques.

Voici les étapes à suivre pour vous aider à minimiser le risque d’incident et l’angoisse qui y est liée pour vos employés.

Maintenir les données en sécurité mais accessibles

La première étape pour empêcher un incident de sécurité est de restreindre la sécurité haut niveau : identifiez les données qui doivent être en sécurité et quelles personnes doivent y avoir accès. Exploitez le Big Data. Obtenir un avantage sur vos concurrents est essentiel pour votre stratégie de gestion, mais limiter l’accès aide à réduire la possibilité d’une erreur humaine.

Vous devez rigoureusement maintenir les données client utilisées à des fins commerciales en sécurité : données de carte bancaire, historiques d’achats, informations personnelles et enregistrements des interactions avec le client peuvent tous faire l’objet d’une violation de données.

Que vous stockiez en local ou dans le Cloud, les données confidentielles doivent seulement être accessibles aux professionnels qui savent comment les utiliser. Ces couches de sécurité peuvent s’avérer plus complexes pour les départements informatiques, mais limiter l’accès en fonction des besoins est une première étape primordiale.

Aussi, n’utilisez jamais les mêmes ID d’accès et mots de passe pour les connexions locales et pour le Cloud.

Sensibiliser les employés pour réduire les risques d’accidents

Les employés ont besoin de formation et d’informations qui les aident à prendre des décisions avisées concernant les données et ainsi savoir quand ils doivent demander de l’aide.

  • Offrez à vos employés une structure solide pour la prise de décisions concernant les données et les informations. Faites qu’il soit facile pour eux d’appréhender de quelle manière ils peuvent maintenir la conformité et comment identifier lorsqu’ils ont besoin de faire remonter une situation.
  • Fournissez-leur la formation dont ils ont besoin pour comprendre non seulement ce qui est approprié, mais aussi de quelle manière ils peuvent appliquer les compétences connexes à leurs tâches de tous les jours.
  • Si les employés ont accès à des informations sensibles sur des dispositifs non sécurisés, revoyez les politiques BYOD (Bring Your Own Device) de votre entreprise. Mettez en place des mesures de sécurité qui ne laissent aucune marge d’erreur, non seulement pour la sécurité des données et les chemins d’accès, mais aussi pour que votre personnel sache clairement à quoi s’attendre.

Renforcer l’engagement des employés et fixer des bonnes habitudes

Comme Lucy. M. Phillips, une consultante de FTI Consulting à Londres, a écrit : « Créer une culture dans laquelle les employés respectent les données et sont motivés pour protéger l’entreprise est primordial pour la cybersécurité. »

Transformer les procédures de sécurité en habitudes fait naître un cycle auto-entretenu de conformité, les considérations pour la sécurité s’enracinent dans les habitudes quotidiennes des employés. Mettre en place une procédure standard n’est pas suffisant, pour réellement engager les employés dans la sécurité des données, ces derniers ont besoin de savoir quoi faire mais aussi comment le faire correctement et pourquoi cela a de l’importance.

En cas de violation potentielle, maintenez tout le monde au même niveau

Les responsables de la confidentialité (CPO) ainsi que les responsables fonctionnels doivent s’assurer de la sécurité des informations et des employés. Les exercices de sécurité vous aideront pour les deux.

  • Ayez une stratégie de réponse et un plan de communication en place avant qu’un incident n’ait lieu.
  • Créez une équipe de réponse aux incidents (incluant les départements informatique, ressources humaines et juridique) qui sera la première impliquée si un incident a lieu. Son rôle sera de gérer le processus et de s’assurer de notifier tous ceux qui sont susceptibles d’être affectés.
  • Communiquez autant que possible sans pour autant spéculer. « Tout le monde au sein d’une entreprise (et même souvent en dehors) veut savoir ce qu’il se passe, presque toujours avant qu’il n’y ait une compréhension exacte de l’incident, de son impact et de ses causes profondes » a écrit John Parkinson, un partenaire affilié du Groupe Waterstone Management à Chicago. La désinformation et la confusion ne se répandent que trop facilement.

Même si les protocoles, logiciels et jalons de sécurité sont essentiels, rappelez-vous de prendre en compte l’aspect humain dans votre planification de la sécurité des données. Offrez à vos employés la formation dont ils ont besoin, intégrez la sécurité des données dans votre culture, et assurez-vous que votre équipe comprend pourquoi le contrôle continu est primordial pour maintenir les informations de l’entreprise (et les leurs) en sécurité.

Pour plus d'information et un accompagnement personnalisé n'hésitez pas à contacter nos experts