RGPD : comment renforcer votre maillon faible | Intracto

27 March 2018

RGPD : comment renforcer votre maillon faible

Lorsqu'il s'agit de sécurité et de protection de la vie privée, l’homme est souvent le maillon faible. Herman, notre expert RGPD, explique comment sensibiliser en interne.

La sécurité de l'information et l'analyse des risques sont des éléments importants de la législation relative au RGPD qui entrera officiellement en vigueur à la fin mai.

C'est pourquoi, dans nos audits et projets RGPD, nous accordons une grande attention au maillon le plus faible de chaque organisation : le facteur humain. En tant qu'entreprise, vous pouvez inventer toute une bibliothèque de procédures ; un seul employé suffit à mettre en danger les différents niveaux de sécurité d'une entreprise.

blog-GDPR-zo-versterk-je-de-zwakste-schakel-header
Herman Maes
Herman Maes
Strategic planner
blog-GDPR-zo-versterk-je-de-zwakste-schakel-credit-card
"Got my new credit card" site:twitter.com

Renforcez votre maillon faible

Assurez-vous donc que votre personnel est bien formé en fonction des risques et du type de données auxquelles il a accès. Le renforcement du maillon faible est un élément essentiel d'un processus de réforme du RGPD.

Chez Intracto, nous considérons la protection de la vie privée et la sécurité de l'information comme une priorité absolue. C'est pourquoi nous travaillons depuis un certain temps déjà sur notre projet interne de RGPD.

Cet article vous donne un exemple de la façon dont vous pouvez vous lancer dans votre propre entreprise. Voici comment nous avons fait :

1. Formation sur la législation RGPD

Chez Intracto, nous attachons une grande importance au développement personnel de nos employés et nous sommes heureux de nous engager dans la formation continue. Les sessions lunch & learn internes sont une partie importante de cette vision.

Début février 2017, nous avons organisé une session sur le RGPD, la sécurité et la vie privée pour toute l'entreprise. Dans cet article, j'avais déjà indiqué à l'époque que nous devions nous préparer à ce qui nous attendait.

Depuis cette première session, nous avons régulièrement organisé de nouvelles sessions, par exemple sur l'authentification à 2 facteurs (qui était alors rendue obligatoire sur nos comptes Google Apps) ou sur l'impact de la législation RGPD sur nos tâches opérationnelles.

Nous informons également régulièrement nos clients par le biais de séminaires pratiques.

blog-GDPR-zo-versterk-je-de-zwakste-schakel-header

2. Master class piratage éthique

Le fait que nous avertissions en interne du danger de piratage est une bonne chose, mais ne crée pas d'effet de choc immédiat.

C'est pourquoi, en collaboration avec Sectricity, nous avons organisé une master class sur le piratage éthique, où tout a été immédiatement mis en pratique :

  • Interception d’un trafic HTTP dangereux sur un réseau Wi-Fi
  • Laisser un réseau informatique être infecté par le logiciel malveillant Wannacry
  • Ports ouverts et recherche des éléments vulnérables dans les systèmes en ligne tels que webcams, bases de données, automates programmables (API)... 
  • L'utilisation d'outils de piratage tels que le Wifi Pineapple et Rubber Ducky usb-sticks.

La master class a été une véritable révélation pour de nombreux collègues, et a été très efficace dans la prise de conscience de nos propres responsabilités.

3. Programme Phishing

Le phishing reste l'une des méthodes d'attaque les plus utilisées. Les e-mails phishing semblent provenir d'une source fiable, mais ils peuvent voler vos données lorsque vous cliquez sur un lien ou une pièce jointe.

Par exemple, des e-mails de phishing ont été utilisés par le GCHQ britannique pour le piratage de Belgacom, où les PC de certains employés ont été infectés par un logiciel malfaisant via une fausse page LinkedIn.

Voici un exemple d'un e-mail de phishing récent mais très frappant que j'ai vu passer et qui télécharge des logiciels malveillants après un seul clic sur le lien :

blog-GDPR-zo-versterk-je-de-zwakste-schakel-confirmation

La master class sur le piratage éthique a également été précédée d'un e-mail de phishing (inoffensif), comme test pour voir quels sont ceux qui tomberont dans le piège.

Depuis, nos collègues ont été très vigilants et ils y réfléchissent à deux fois avant de cliquer sur un lien ou une pièce jointe.

Ci-dessous vous pouvez voir un exemple de ce à quoi ressemblait l’e-mail. Seriez-vous tombé dans le panneau ? 

blog-GDPR-zo-versterk-je-de-zwakste-schakel-mail

Conseil important : formez et testez vos employés.

4. Rapprocher les procédures et l'information

La révision des procédures internes (pour l'accueil et le départ à la retraite des salariés, le fonctionnement du service d'assistance téléphonique...) contribue à renforcer le maillon humain de la chaîne.

Afin d'avoir une bonne vue d'ensemble des risques opérationnels, par exemple, nous recueillons également toutes les questions de sécurité qui sont soulevées avec nos clients.

Cette histoire de sécurité et de confidentialité n'est pas seulement l'histoire de notre équipe SRE (Site Reliability Engineering), mais d'un groupe de travail composé de personnes venant de toute l'organisation. Des RH au marketing, en passant par le SRE et les équipes de développement.

Après tout, le RGPD n'est pas seulement un sujet informatique. Brisez donc les frontières traditionnelles au sein de votre entreprise.

5. Un canal #legal sur Slack

Grâce à Laura, nous avons notre propre juriste digitale en interne. 

Comme des milliers d'autres entreprises, nous travaillons également en interne avec l'outil de communication Slack. Dans le canal #legal, tout le monde peut poser des questions sur la vie privée, le commerce électronique, le RGPD et d'autres législations. De cette façon, d'autres collègues peuvent prendre le relais immédiatement.

6. State of the Campus

Tous les lundis matin, une newsletter interne ludique est envoyée. Dans cette newsletter, nous mélangeons des informations importantes avec les réalisations de nos collègues et des nouvelles sur les activités parallèles. Notre State of the Campus contribue à renforcer la culture d'entreprise informelle et ouverte.

blog-GDPR-zo-versterk-je-de-zwakste-schakel-nieuwsbrief

Cette communication est donc idéale pour inclure régulièrement un conseil de sécurité. De cette façon, nous gardons informé chacun d'une manière détendue, avec les GIF nécessaires.

En résumé

À côté de toute la bureaucratie autour de votre projet RGPD, n'oubliez donc pas d'inclure aussi l’aspect humain.

Ne vous contentez pas de brandir des contrats de travail stricts, mais montrez les risques dans la pratique et assurez-vous d'avoir la bonne mentalité dans l'ensemble de l'entreprise.

Besoin de conseils ?

Besoin d'aide pour mettre en place un programme de sensibilisation ou vous souhaitez suivre des ateliers et sessions internes sur la sécurité, la vie privée et la RGPD ? Nous nous ferons un plaisir de vous aider.