Prévenir les fuites de données
Nathalie Risacher, RSSI de Natixis à New York et élue RSSI de l'année par 01, a accepté de partager son expérience new-yorkaise de lutte contre la fuite d'informations.
Il y a deux ans, lorsque l’analyse de risque chez Natixis a pointé, sans surprendre, la fuite de données comme menace majeure, Nathalie Risacher observait que les moyens pour les salariés de sortir de l’information étaient plus nombreux que ceux censés les en empêcher. Première étape, donc, poser les verrous nécessaires et définir ensuite les différentes restrictions d’usage. « L’objectif de la démarche était de réduire les risques au maximum, tout en permettant aux collaborateurs de continuer à travailler normalement », explique la RSSI. Le webmail, par exemple, est accessible depuis le poste de travail mais au travers d’un client léger Citrix et dans un temps limité. Les réseaux sociaux (Facebook, Twitter, Linkedin, etc.), eux, sont bloqués, exception faite des ressources humaines et de certains chefs de service pour des raisons de recrutement ou de veille. Enfin, le stockage en ligne type Dropbox est proscrit. « Nous avons, par contre, mis en place un système de partage de données sur un cloud privé avec un temps limité et assujetti à une autorisation du responsable du salarié », précise Nathalie Risacher qui ne s’arrête pas là et entame sur-le-champ une démarche de responsabilisation des utilisateurs. « Ils sont souvent le maillon faible, et malgré eux et dans 99 % des cas. »
L'accès réseau peut être coupé en cas de non-suivi des formations
Les règles et les consignes sont donc délivrées, détaillées et expliquées aux salariés et ce, dès leur arrivée dans l’entreprise. Dès leur entrée dans l’entreprise un des membres de l’équipe sécurité explique aux nouveaux arrivants, au travers d’un mini-séminaire, les restrictions et les risques encourus. Quelle que soit la population. Cette formation est obligatoire. Si le collaborateur manque une première fois, il reçoit une convocation pour un rattrapage. Au deuxième manquement, le manager est alerté. Au troisième, l’accès réseau du salarié est tout simplement coupé. Sont ensuite dispensés sur l’année et étalés sur trois ans (à raison de deux par an) des cours en ligne choisis parmi six thématiques (utilisation des mobiles, protection des données, etc.). Ensuite, pour s’assurer que l’ensemble des consignes a bien été entendu et, surtout, qu'elles sont respectées, la RSSI se livre à une série de mises en situation.