Réduire les risques

Failles de sécurité, cybercriminalité et réglementation sur la confidentialité des données – les données de votre organisation contiennent inévitablement des informations sensibles. Savoir où se trouvent ces informations, être en mesure de faire face aux risques identifiés et garantir la conformité avec les politiques sont des capacités cruciales pour réduire les risques liés aux données des fichiers.

01

Besoins

Améliorer la conformité et la protection des données

La menace croissante des cyberattaques et un environnement réglementaire de plus en plus strict transforment les stratégies de protection des données et de conformité en décisions critiques. Les données non structurées, en tant que référentiel d’informations le plus chaotique et le plus fluide au sein de l’organisation, sont à la fois les plus importantes et les plus difficiles à gérer pour les équipes de protection des données et de conformité.

02

Recommendations

Recommendations

Identifier et remédier aux pratiques de travail dangereuses

Améliorer la gestion des archives organisationnelles par les utilisateurs

Comportement ciblé

Des copies d’archives sont abandonnées dans des endroits non sécurisés.

Directive

Les fichiers temporairement extraits des systèmes de gestion d’archives, à des fins d’édition ou de référence, doivent être correctement retournés à ce système de gestion après que les éditions aient été faites et toutes les copies de référence doivent être supprimées dès que le travail est achevé.

Les archives ne doivent pas être stockées indéfiniment dans les Home drives, sites SharePoint, partages de fichiers Office365 ou dans le stockage du NAS. Les archives ne doivent être stockées que dans des systèmes de gestion d’archive désignés.

Pré-requis de la politique

  • Scanner une fois par semaine les fichiers qui contiennent : « numéro de client », « numéro d’employé », « numéro de fournisseur », « numéro de sécurité sociale », « numéro de carte de crédit » et/ou autres types de données à caractère personnel, et qui n’ont pas été accédées/ modifiées dans les sept derniers jours.
  • Avertir les gestionnaires des données (ou Data stewards)/ Gérants d’archives (ou Record Managers) lorsque des archives suspectes ont été détectées.
  • Demander aux Data Stewards/Record Managers de vérifier la liste des fichiers et effectuer des actions appropriées.

Identifier et remédier aux pratiques de travail dangereuses

Eviter de garder inutilement des données sensibles concernant des candidats aux offres de travail

Comportement ciblé

Les CV et lettres de motivation collectées lors d’un processus de recrutement sont gardés dans les Home Drives des managers. Les données personnelles sensibles dans ces fichiers ne sont pas mises en sécurité de façon appropriée.

Directive

Les CV et lettres de motivation acquis lors des processus de recrutement doivent être détruits immédiatement après que le poste soit pourvu. Si le manager souhaite garder ces documents pour des références futures, alors un emplacement spécifique doit être trouvé.

Pré-requis de la politique

  • Les Home Drives (y compris le stockage de fichiers O365) sont scannés sur une base mensuelle.
  • Les fichiers contenant des chaînes de caractères/modèles spécifiques (numéros de sécurité sociale, CV , etc…) sont identifiés.
  • Les propriétaires des fichiers identifiés sont avertis et invités à supprimer les fichiers concernés. Ils sont également rappelés à l’ordre concernant les politiques de l’organisation.

Identifier et remédier aux pratiques de travail dangereuses

Supprimer la mauvaise habitude de stocker les mots de passe dans des fichiers

Comportement ciblé

Les utilisateurs ont tendance à stocker des mots de passe personnels (ainsi que les identifiants d’applications/ comptes de service) dans des partages de fichiers.

Directive

Les utilisateurs devraient stocker tous leurs identifiants (y compris noms d’utilisateur et mots de passe des comptes personnels) dans un système dédié (KeePass par exemple). Aucune sorte d’identité ou de mot de passe, si non cryptés, ne doit être stockée dans des fichiers.

Pré-requis de la politique

  • Les partages de fichiers et le stockage de fichiers O365 sont scannés sur une base mensuelle.
  • Les fichiers contenant des mots de passe ou des identités sont identifiés.
  • Les propriétaires des fichiers identifiés sont avertis et sont invités à supprimer les fichiers concernés. Ils sont également rappelés à l’ordre concernant les politiques de l’organisation.

Identifier et remédier aux pratiques de travail dangereuses

Assurer la destruction des données sensibles concernant les révisions annuelles

Comportement ciblé

Les données personnelles sensibles (y compris les informations concernant le salaire) sont distribuées aux managers sur une base annuelle de façon à assister les processus de révisions annuels. Ces fichiers ne sont généralement pas supprimés de façon appropriée à la fin du processus de révision.

Directive

Les informations sur les employés utilisées lors des processus de révision annuelle doivent être supprimées après la complétion de ces processus. Les informations historiques peuvent être fournies sur demande et ne doivent pas, de ce fait, être retenues indépendamment par les managers.

Pré-requis de la politique

  • Les Home Drives (y compris le stockage de fichiers O365) et les dossiers partagés communs sont scannés sur une base mensuelle.
  • Les fichiers contenant des chaînes de caractères/modèles pertinents («révision annuelle », « salaire » et numéros des employés) sont identifiés.
  • Les propriétaires des fichiers identifiés sont avertis et invités à supprimer les fichiers concernés. Ils sont également rappelés à l’ordre concernant les politiques de l’organisation.

Satisfaire à des exigences d’audit spécifiques

Test pour vérifier que les archives sont correctement localisées

Comportement ciblé

Le fait que les documents à conserver soient situés au bon endroit n’est pas une pratique activement suivie.

Directive

Des tests doivent être effectués pour confirmer que les utilisateurs et les Data Stewards connaissent la localisation des fichiers contenant des données personnelles.

Pré-requis de la politique

  • Des tests doivent être effectués de façon hebdomadaire pour vérifier que les fichiers contenant potentiellement des données personnelles ne sont pas stockés sur SharePoint ou OneDrive for Business.
  • La présence de « numéros de client », « numéro d’employé », « numéro de fournisseur », « numéros de sécurité sociale », » numéro de carte de crédit » signifiera un test échoué.
  • Les résultats de chaque test sont envoyés aux Gestionnaires des dossiers.
  • Des tests seront réalisés sur une base mensuelle et les Gestionnaires des dossiers ainsi que le personnel gérant la sécurité des données auront la possibilité de les exécuter à la demande.

Satisfaire à des exigences d’audit spécifiques

Workflow pour répondre aux demandes de conservation à des fins juridiques

Comportement ciblé

Les demandes visant à placer des données relatives à des personnes, projets, produits ou cas spécifiques en attente légale sont mal prises en charge. Un manque d’informations suffisantes sur le contenu des données mène à des mises en quarantaine d’énormes volumes de données et à l’exclusion des données pertinentes.

Directive

Une méthode scientifique permettant d’identifier les fichiers devant être conservés à des fins juridiques est demandée. L’organisation est exposée à des coûts (significatifs et non nécessaires) de services et d’infrastructure lorsque d’importantes données sont demandées à être conservées à des fins juridiques. De la même façon, l’organisation échoue à remplir ses obligations légales lorsque les fichiers importants manquent. La capacité à interroger le contenu du fichier et à en identifier la présence de chaînes de caractères pertinentes est nécessaire.

Pré-requis de la politique

  • La justice annonce que toutes les données connectées à un individu, une entreprise, un cas… doivent être gardées et légalement mises en attente.
  • Le service informatique identifie les Data Stewards (Managers des unités de Business, Chefs des départements..) devant être concernés et créé l’emplacement dédié à la quarantaine avec les permissions pertinentes, les politiques de conservation…
  • Les Data Stewards fournissent des listes contenant les référentiels des données qui devraient être scannées (extraction de texte) pour les fichiers reliés à un individu, une entreprise, un cas etc… Les scans sont configurés et exécutés.
  • Les Data Stewards reçoivent une notification lorsque les données sont collectées et révisent les listes de fichiers (en déplaçant les fichiers pertinents en quarantaine).

05

Other

More of what we deliver

Réduire les coûts

Sur site ou dans le cloud – le stockage des données de votre organisation est coûteux, en particulier si l’on considère toutes les dépenses associées à l’hébergement des données et à leur conservation dans le temps.

Augmenter l'efficacité

Les données augmentent continuellement et principalement de manière incontrôlée – l’efficacité opérationnelle de ceux qui possèdent et dépendent des données diminue à mesure qu’elles deviennent de plus en plus chaotiques.

Responsabilité d’entreprise

La pression monte sur toutes les organisations pour qu’elles assument plus de responsabilité sociale – les services informatiques, internes ou externes, doivent intégrer des capacités facilitant la RSE.

Northern Parklife icon

Let’s take control over your data management

We accelerate the goals of growth stage companies by providing the expertise and experience they need to hit their next stage of growth faster.
Contact Us