Améliorer la gestion des archives organisationnelles par les utilisateurs
Comportement ciblé
Des copies d’archives sont abandonnées dans des endroits non sécurisés.
Directive
Les fichiers temporairement extraits des systèmes de gestion d’archives, à des fins d’édition ou de référence, doivent être correctement retournés à ce système de gestion après que les éditions aient été faites et toutes les copies de référence doivent être supprimées dès que le travail est achevé.
Les archives ne doivent pas être stockées indéfiniment dans les Home drives, sites SharePoint, partages de fichiers Office365 ou dans le stockage du NAS. Les archives ne doivent être stockées que dans des systèmes de gestion d’archive désignés.
Pré-requis de la politique
| Scanner une fois par semaine les fichiers qui contiennent : « numéro de client », « numéro d’employé », « numéro de fournisseur », « numéro de sécurité sociale », « numéro de carte de crédit » et/ou autres types de données à caractère personnel, et qui n’ont pas été accédées/ modifiées dans les sept derniers jours. |
| Avertir les gestionnaires des données (ou Data stewards)/ Gérants d’archives (ou Record Managers) lorsque des archives suspectes ont été détectées. |
| Demander aux Data Stewards/Record Managers de vérifier la liste des fichiers et effectuer des actions appropriées. |
Eviter de garder inutilement des données sensibles concernant des candidats aux offres de travail
Comportement ciblé
Les CV et lettres de motivation collectées lors d’un processus de recrutement sont gardés dans les Home Drives des managers. Les données personnelles sensibles dans ces fichiers ne sont pas mises en sécurité de façon appropriée.
Directive
Les CV et lettres de motivation acquis lors des processus de recrutement doivent être détruits immédiatement après que le poste soit pourvu. Si le manager souhaite garder ces documents pour des références futures, alors un emplacement spécifique doit être trouvé.
Pré-requis de la politique
| Les Home Drives (y compris le stockage de fichiers O365) sont scannés sur une base mensuelle. |
| Les fichiers contenant des chaînes de caractères/modèles spécifiques (numéros de sécurité sociale, CV , etc…) sont identifiés. |
| Les propriétaires des fichiers identifiés sont avertis et invités à supprimer les fichiers concernés. Ils sont également rappelés à l’ordre concernant les politiques de l’organisation. |
Supprimer la mauvaise habitude de stocker les mots de passe dans des fichiers
Comportement ciblé
Les utilisateurs ont tendance à stocker des mots de passe personnels (ainsi que les identifiants d’applications/ comptes de service) dans des partages de fichiers.
Directive
Les utilisateurs devraient stocker tous leurs identifiants (y compris noms d’utilisateur et mots de passe des comptes personnels) dans un système dédié (KeePass par exemple). Aucune sorte d’identité ou de mot de passe, si non cryptés, ne doit être stockée dans des fichiers.
Pré-requis de la politique
| Les partages de fichiers et le stockage de fichiers O365 sont scannés sur une base mensuelle. |
| Les fichiers contenant des mots de passe ou des identités sont identifiés. |
| Les propriétaires des fichiers identifiés sont avertis et sont invités à supprimer les fichiers concernés. Ils sont également rappelés à l’ordre concernant les politiques de l’organisation. |
Assurer la destruction des données sensibles concernant les révisions annuelles
Comportement ciblé
Les données personnelles sensibles (y compris les informations concernant le salaire) sont distribuées aux managers sur une base annuelle de façon à assister les processus de révisions annuels. Ces fichiers ne sont généralement pas supprimés de façon appropriée à la fin du processus de révision.
Directive
Les informations sur les employés utilisées lors des processus de révision annuelle doivent être supprimées après la complétion de ces processus. Les informations historiques peuvent être fournies sur demande et ne doivent pas, de ce fait, être retenues indépendamment par les managers.
Pré-requis de la politique
| Les Home Drives (y compris le stockage de fichiers O365) et les dossiers partagés communs sont scannés sur une base mensuelle. |
| Les fichiers contenant des chaînes de caractères/modèles pertinents («révision annuelle », « salaire » et numéros des employés) sont identifiés. |
| Les propriétaires des fichiers identifiés sont avertis et invités à supprimer les fichiers concernés. Ils sont également rappelés à l’ordre concernant les politiques de l’organisation. |
