What is the Cost of Non-Compliancy to GDPR?

Ne laissez rien fuiter ! Comment prévenir les erreurs humaines en matière de violation des données.
Charlotte Bourguignon

Ne laissez rien fuiter! Comment prévenir les erreurs humaines en matière de violation des données.

Image showing how human error can cause data breaches

Écrit par: Roxana Lemaire

Halloween vient de passer, Mariah Carey décongèle au moment où l’on parle, et il ne reste plus que 2 mois avant la fin de l’année. Malheureusement, nos erreurs ont fait 82% de violation des données ces derniers 10 mois.

Une violation des données se produit lorsqu’un incident de sécurité entraîne une violation de la confidentialité, de la disponibilité ou de l’intégrité. Dans la plupart des cas, les violations de données sont malheureusement dues à un élément essentiel de notre existence : l’erreur humaine.

Dans le monde de la sécurité, nous appelons ce genre d’erreur “the human error”, ce qui fait référence à une action non intentionnelle, ou à un manque d’action.

Les categories d’erreur humaine

Il existe deux catégories d’erreurs humaines. Celles-ci sont basées sur le niveau de connaissance d’une personne et peuvent donc être évitées.

L’erreur basée sur les compétences

La première catégorie est l’erreur basée sur les compétences, également connues sous le nom de dérapages et de manquements, qui se produit lorsque l’employé commet une erreur en travaillant sur une tâche familière. L’employé sait comment le processus est généralement réalisé mais échoue en raison d’une négligence ou d’une erreur de jugement.

Une autre possibilité est un trou de mémoire parce que l’employé est fatigue, distrait ou oublie une étape. En ce sens, un employé bien reposé et bien soigné est moins susceptible de provoquer une violation de données.

Les employés qui tombent dans un piège de phishing commettent des erreurs basées sur les compétences, car ils sont peut-être conscients de l’existence des courriers de phishing. Cependant, le courrier de phishing peut parfois être si convaincant que même l’employé le mieux formé peut commettre une erreur de jugement.

L’erreur basée sur la décision

La deuxième catégorie est l’erreur basée sur la décision. Ce type d’erreur se produit lorsque l’employé prend une mauvaise décision en raison d’un manque de connaissances ou d’informations pertinentes et suffisantes.

L’absence de réaction peut également constituer une décision erronée. Un exemple classique est celui de l’employé qui ne sait pas que tous les fichiers contenant des données doivent être déchiquetés. Il peut se contenter de jeter les documents dans un conteneur, ce qui peut conduire à une violation des données. Une formation et une sensibilisation suffisantes à la protection des données sont essentielles pour prévenir les fuites de données.

Exemple d’erreur humaine.

Les erreurs humaines sont de toutes formes et de toutes tailles. Nous avons répertorié les quatre erreurs les plus courantes. Il est fort probable que vous les ayez déjà rencontrées dans votre propre organisation. 

1. Efficacité et connaissance

Cela nous est déjà à tous arrivé… appuyer trop rapidement sur le bouton “Envoyer” d’un courriel. Il arrive très souvent qu’une information soit envoyée au mauvais destinataire par une petite distraction ou en voulant effectuer un travail rapidement. Les conséquences peuvent être terribles si ledit courrier contient alors des données personnelles ou sensibles.

2. Les mots de passe

Il n’est pas surprenant que les mots de passe soient le pire ennemi de l’homme. Nous détestons tous devoir inventer de nouveaux mots de passe (et, soyons honnêtes, c’est compliqué). Comme nous sommes si largement connectés en ligne, il est devenu presque impossible pour notre cerveau humain de se souvenir de tous ces mots de passe.    

Selon une étude du NCSC, certains services permettent encore aux gens d’utiliser des mots de passe comme 1233456. Cela revient presque à remettre les clés de votre entreprise à un pirate. En outre, 45 % des personnes réutilisent les mots de passe de leur compte de messagerie pour d’autres services également.

Réutiliser le même mot de passe ou opter pour un mot de passe facile à deviner est une chose, mais écrire les mots de passe sur un post-it ou même les taper et les sauvegarder sur votre OneDrive est tout aussi mauvais. Pensez à investir dans un bon gestionnaire de mots de passe pour vos employés afin d’éviter les fuites de données dues à des mots de passe piratés. 

3. Patching

Le correctif ou ‘Patching’ est le processus de réparation d’une vulnérabilité dans une application ou un logiciel après sa sortie initiale. Il est impératif que les utilisateurs installent les mises à jour de sécurité dès qu’elles sont disponibles, car les cybercriminels sont constamment à l’affût pour exploiter les vulnérabilités des logiciels. 

4. Erreur de sécurité physique

Se protéger contre les cyberattaques est important, mais il faut aussi être conscient des risques physiques qui peuvent survenir, comme des informations confidentielles consultées, ou pire, volées par une personne non autorisée. Laisser la porte ouverte est un grand non.

Prévenir l’erreur humaine.

Bien entendu, il existe des moyens d’éviter ces risques en prenant des mesures appropriées. Nous présentons ci-dessous quelques-unes des façons les plus simples de mettre en œuvre des mesures ; tout commence par de petites améliorations qui peuvent donner de grands résultats.

Data breach meme

Formation et Sensibilisation

Avant toute chose, il est important de s’attaquer au manque de connaissances, et donc de réduire les erreurs de décision. Un moyen très simple d’y parvenir est de donner aux employés une formation appropriée afin qu’ils soient conscients de leurs actions et qu’ils en mesurent les conséquences.

Réinitialisation de la culture

Deuxièmement, un changement de culture peut s’avérer nécessaire en matière de sécurité de l’information. Si la sensibilisation est faible et l’insouciance élevée, envisagez de mettre en œuvre les meilleures pratiques et d’instaurer un environnement exempt de tout reproche, dans lequel les employés peuvent assumer la responsabilité de leurs erreurs, sans être réprimandés. Le fait d’impliquer les employés dans la situation et la résolution du problème diminuera probablement le risque de récidive, car ils auront une vision plus claire de ce qui a mal tourné.

Gestion des mots de passe

Enfin, il convient de réduire les risques de violation des données. Les deux moyens les plus simples et les plus courants d’y parvenir sont la gestion des mots de passe et le contrôle des privilèges.

Le contrôle des privilèges se concentre sur la confidentialité en veillant à ce qu’aucune personne non autorisée ne puisse accéder aux fichiers dont elle n’a pas besoin pour remplir son rôle.

La gestion des mots de passe, quant à elle, implique que vous utilisiez une application de gestion des mots de passe qui stocke tous vos mots de passe.

L’avantage de cette solution est que les employés ne doivent plus se souvenir de tous les mots de passe et ne doivent pas se creuser la tête pour en trouver un nouveau à chaque fois. Il leur suffit de mémoriser un mot de passe qui ouvre la porte d’un monde rempli d’autres mots de passe.

 

Nous ne voudrions pas que le Père Noël donne nos cadeaux à quelqu’un d’autre à cause d’une erreur des elfes, n’est-ce pas ? Faisons de notre mieux pour tenir les 82 % à distance jusqu’à la fin de l’année, afin de commencer la nouvelle année plus sagement grâce à ces conseils !

Bonjour ! Comment pouvons-nous vous aider ? 

Des questions, des remarques, des réactions ou des compliments ? Le moyen le plus rapide de nous joindre est de remplir le formulaire ci-dessous.





    Pour les questions urgentes, vous pouvez nous contacter au 02 310 39 63.