Comment innover sans être freiné par la peur de contrôles CNIL ?

Ce n’est pas vrai, le RGPD ne permet pas d’interdire l’exploitation de la Data mais il cadre l’exploitation de la Data. Il n’y a aucun article dans le règlement qui dit ces propos.

En revanche, l’utilisation de la Data est cadrée, il y a des règles à respecter etc.. Le message à pousser c’est de dire qu’au contraire, il faut profiter de ce cadre-là pour mettre « d’équerre » les données qu’on a en interne et les exploiter.

La première brique du RGPD c’est le recensement des traitements, le fait de tenir un registre de traitement. Parfois, certains clients n’avaient même pas conscience de la valeur de l’information qu’ils avaient !

Il y avait des dirigeants qui ont vu en leur registre de traitement et en la donnée qu’ils traitaient, des opportunités business. Il faut utiliser cette réglementation pour cartographier et récupérer l’ensemble des informations que nous avons a et derrière utiliser ou revoir le business model avec les nouvelles informations collectées. L’idée n’est pas de bloquer le business, c’est un peu les américains qui ont lancé cette idée-là…

Les systèmes d’informations utilisées dans des bureaux d’études, au sein d’une équipe R&D, et l’hygiène à respecter sont censés être les même partout.

L’idée est de savoir avec qui on travaille en termes de partenaire et protéger cette information.

Quand je dis protéger cette information, pour être extrêmement clair, au niveau de la R&D, les machines ne sont jamais badgées car on travaille avec une typologie de partenaires qui nous proposent des solutions de calculs et ces solutions, elles ne sont pas forcément compatibles avec les nouvelles versions de Windows par exemple.

L’idée est que l’entreprise se trouve dans une situation délicate car elle doit continuer à travailler sur ces outils là mais elle s’expose à un risque sur un système d’exploitation pas à jour.

• Les réglementations, pas que RGPD, le NIS etc.. Toute entreprise doit mettre en place et proposer des mesures adéquates pour protéger l’information. En l’occurrence, l’entreprise est dans l’obligation de demander à ses fournisseurs, ses partenaires, de proposer des solutions qui sont conformes à l’état de l’art et à la sécurité.

Autant que l’hygiène personnelle, la « cyber-hygiène » est indispensable pour rester en bonne santé financière ! Pratiquer une « cyber-hygiène » quotidienne peut prêter à rire mais pourtant, c’est une prérogative nécessaire pour préserver la santé (financière) de son entreprise.  Cela consiste à adopter une attitude responsable vis-à-vis du digital et de l’exposition externe des données de son entreprises, aussi insignifiantes soit-elle. Cela se matérialisera par une routine journalière pour garantir la sécurité de son entreprise, quel que soit son poste.

Au final, l’objectif étant de prendre toutes les précautions pour éviter de subir de lourdes cyber-attaques et donc de faire perdre en crédibilité et chiffre d’affaires son entreprise.

Dans cet article, vous allez comprendre comment l’appliquer au sein de vos pratiques quotidiennes de manière simple et efficace.

Instaurer des bonnes pratiques de cyber-hygiène » est bon pour le business !

Pour moi, il s’agit avant tout de sensibiliser, vu que le maillon faible dans toute la chaine de la formation, c’est l’humain. Donc, déjà posons-nous la question de pourquoi il faut sensibiliser TOUT ses collaborateurs ? Il faut les sensibiliser car historiquement, ils ont pris l’habitude de travailler d’une certaine manière, qui ne prenait pas considération ces nouveaux risques. On entend parler de post-it, de personnes qui partagent leur mot de passe etc… ils ne sont pas conscients du risque !

Il faut que ces personnes-là sachent, quel que soit leur niveau hyérarchique, que l’entreprise ou l’environnement dans laquelle ils évoluent, c’est un environnement qui est complètement drivé par l’information et si cette information venait à être voler etc.. Cela pourrait être catastrophique pour l’entreprise.

Sur la partie sensibilisation, il y a un schéma classique qui présente l’inefficacité : présenter de la sécurité des informations aux collaborateurs, car ils ne sont pas intéressés. Il y a d’autres manières qui ont montré leur efficacité !

Sur la partie interne, l’impact c’est le vol d’information, une personne malveillante qui a accès aux locaux qui va récupérer l’information, c’est des projets qui sont réalisées par des entreprises spécialisée pour démontrer qu’une session ouverte peut faire extrêmement mal à l’entreprise si cela coïncide avec une personne qui se balade dans les locaux. Cela peut être de la R&D, un fichier client etc… des éléments très critiques et qui sont engendrées par des actions banales.

Si les personnes ne sont pas « embarquées » dans ce projet-là, cela ne va pas marcher ! La première étape est de sensibiliser aux risques et d’embarquer les collaborateurs. Pour moi, la meilleure méthode, c’est le management. Il faut que le management montre l’exemple… Il faut donc changer les mentalités via embarquer le management et le top management. Imposer, c’est quelque chose à éviter car automatiquement, on va recevoir des freins.

• Un virage digital sans prise en considération de la cybersécurité, c’est un mur en face ! On peut prendre le virage mais on prend le mur.

Quand on dit digitalisation et informatisation, c’est ouvrir les systèmes d’informations et c’est ce que les personnes ne comprennent pas ou qu’elles ne veulent pas le concevoir. Quand on fait de la digitalisation, il y a énormément de services métiers qui sont concernés. On ouvre nos systèmes d’informations en interne pour que tel ou tel prestataire puisse se connecter pour formaliser des factures etc… Cela permet de soulager le métier, d’aller vite mais derrière, on pose des risques en allant vers de la digitalisation.

L’idée est de ne pas dire qu’il ne faut pas digitaliser, au contraire mais il faut prendre en considération les aspects cybersécurité dans les contrats, demander aux prestataires si la plateforme avec laquelle on se connecte est sécurisée, est-ce qu’il réalise des tests d’intrusions... Faire un questionnaire prestataire par exemple qu’on va annexer dans nos contrats ou appel d’offre, c’est quelque chose qui se fait actuellement. Toutes les entreprises ont déjà reçu une fois un questionnaire qui leur demande ce qu’ils ont fait côté cybersécurité.

Concrètement, il faut sensibiliser aux risques en digitalisation sans les offenser, laisser les gens réfléchir à ces problématiques là et par la suite aller sur des choses plus opérationnels et non faire directement de l’opérationnel. Par exemple, leur imposer un mot de passe avec 10 caractères. Si la personne n‘est pas convaincu que c’est quelque chose de primordial pour l’entreprise, il va le faire un contrecœur ou il va trouver des solutions de contournement comme le post-it sur le PC.  Le management doit montrer l’exemple !