VIOLATION DE LA SÉCURITÉ:
Nous parlons de violation de la sécurité lorsqu’il y a un accès, une manipulation, une suppression ou une communication non autorisés concernant les informations de notre société ou entité, ses installations physiques (bureaux, usines, magasins, etc.) ou ses systèmes informatiques.
Les failles de sécurité peuvent donc être causées par des cyber-attaques ou par des erreurs humaines, qu’elles soient intentionnelles ou non.
Par ailleurs, lorsqu’une faille de sécurité affecte particulièrement les données à caractère personnel, on parle de violation des données ou de la vie privée, et cela peut se faire par des moyens numériques ou physiques (par exemple, en partageant certains documents papier sur une personne physique avec un tiers non autorisé).
Quelles sont les failles de sécurité que nous ne pouvons pas prévenir?
Les failles de sécurité causées par une personne extérieure à l’entreprise ou à l’entité, c’est-à-dire les cyber-attaques.
Quelles sont les failles de sécurité que nous pouvons éviter?
- L’accès non autorisé aux installations ou à certaines zones restreintes: Lorsque nous recevons des visiteurs (fournisseurs, clients, auditeurs, collaborateurs, etc.), il est très important qu’ils soient accompagnés à tout moment. De même, et même s’il s’agit de membres du personnel de l’entreprise ou de l’entité, il est important de ne pas accéder à certaines zones considérées comme privées ou restreintes sans l’autorisation préalable de la personne responsable de cette zone ou de ce département (par exemple, les bureaux de la direction dans les entreprises ou la direction générale dans les entités publiques).
- Utilisation non autorisée des systèmes ou des informations: Chaque professionnel doit savoir quelles informations doivent et peuvent être traitées et lesquelles ne peuvent pas l’être, car elles sont nécessaires à l’exercice de ses fonctions. L’accès à des technologies ou à des informations qui dépassent le domaine d’activité ou le service peut entraîner de graves failles de sécurité. Par conséquent, en cas de doute sur l’autorisation d’accès et d’utilisation de certaines applications et documents, il est préférable de s’adresser à son responsable direct et au service informatique en interne.
- Copies non autorisées de documents numériques et physiques: Des précautions particulières doivent être prises lors de la réalisation de copies et/ou de l’extraction de documents numériques et physiques. Surtout si leur contenu peut être considéré comme confidentiel ou de nature personnelle. Par conséquent, avant de transférer des documents d’un appareil à l’autre, ou même de les sauvegarder sur une clé USB, il est préférable de s’assurer que nous sommes autorisés à faire de telles copies, de préférence en interrogeant notre supérieur hiérarchique et le département informatique.
- Recyclage inapproprié: Les documents papier contenant des informations confidentielles ou des données personnelles ne doivent pas être réutilisés pour des raisons environnementales comme « papier sale » ou pour prendre des notes. Dans ce cas, la sécurité et la protection de la vie privée priment sur la culture du recyclage, pour des raisons évidentes. En effet, il ne suffit pas de les jeter à la poubelle, il faut les détruire, soit en utilisant un destructeur de papier, soit en les déchirant en mille morceaux. Si vous ne le faites pas, vous risquez d’être victime d’une violation majeure de la sécurité et des données, à laquelle nous n’accordons pas suffisamment d’importance dans notre vie de tous les jours.
- Communication verbale d’informations confidentielles ou privées: L’exercice de nos fonctions fait partie de notre vie quotidienne et nous sommes donc enclins à en parler, même dans la sphère sociale ou privée. Cependant, nous devons être conscients de ce que nous pouvons partager, car cela concerne exclusivement notre performance professionnelle et notre carrière, et de ce que nous devons garder pour nous, car il s’agit d’informations confidentielles de l’entreprise ou de l’organisation. Cette recommandation devrait être appliquée même entre les domaines et les départements, en ce qui concerne les informations que nos collègues n’ont pas besoin de connaître. Les domaines qui détiennent les informations les plus critiques sur les systèmes ou les données de l’entreprise ou de l’entité sont les suivants : La direction, les finances, les ressources humaines, le service juridique et l’informatique.
NOTE IMPORTANTE : Si nous soupçonnons que nous-mêmes ou un tiers avons causé une violation de la sécurité, nous avons une obligation légale découlant de notre responsabilité en tant qu’utilisateurs de technologies et d’informations de alerter le service informatique, le responsable de la sécurité (CISO), le délégué à la protection des données (DPO) et le supérieur hiérarchique au niveau professionnel. Nous souhaitons qu’ils puissent nous conseiller et nous aider le plus rapidement possible. Et si cela nous touche personnellement, nous devrions également le signaler aux autorités policières.
*Date d’envoi : 11 février 2025