Définir une charte d'utilisation du système d'information
La mise en place d’une charte d’utilisation sert à sensibiliser les utilisateurs aux bonnes pratiques, notamment en termes de sécurité et de protection des données.
- Renforcer la sécurité du système d’information
- Assurer la conformité de l’entreprise par rapport aux réglementations sur les données
- Mettre en place différentes bonnes pratiques
- Être pédagogue
- Adjoindre la charte au règlement intérieur et aux contrats de prestation
Les problèmes de sécurité ou de conformité résultent souvent d’une erreur humaine, bien souvent par méconnaissance des enjeux. La charte d’utilisation définit les bonnes pratiques pour utiliser le système d’information. Elle établit un ensemble de recommandations à destination des utilisateurs, mais aussi de tiers qui peuvent être amenés à intervenir sur votre système d’information.
Avant de rédiger la charte, commencez par analyser les risques auxquels est exposé votre système d’information au niveau des données, des applications et des processus. Identifiez ce qui constitue des données sensibles pour votre entreprise, et dans quelles conditions ces contenus peuvent être utilisés :
- Impression ?
- Envoi par email ?
- Mise à disposition sur un serveur partagé ?
- Mise à disposition sur un cloud public ou privé ?
L’objectif principal de la charte est de définir les droits et les devoirs des utilisateurs en matière d’utilisation du SI, par exemple :
- Obligation de chiffrer les données sensibles,
- Interdiction d’utiliser des images récupérées sur Internet,
- Interdiction d’utiliser la messagerie de l’entreprise pour des mails à caractère privé, sauf dans un dossier clairement identifié,
- Non divulgation du mot de passe,
- Sites et applications interdits,
- etc.
La charte doit aussi évoquer les enjeux de conformité qui prennent de plus en plus d’ampleur : respect de la propriété intellectuelle, protection des données personnelles des clients et collaborateurs. L’entrée en vigueur du RGPD impose en effet une vigilance accrue sur ces aspects.
Elle doit également préciser les moyens de contrôle mis en place et les sanctions encourues.
Vous pouvez enfin inclure quelques conseils relatifs au développement durable, pour sensibiliser les utilisateurs aux économies sur le papier ou l’énergie.
Pour que la sensibilisation soit efficace, misez sur la pédagogie, en expliquant les enjeux et les risques associés en termes simples et compréhensibles par tous, accompagnés d’exemples. Il est important de bien définir tous les termes utilisés.
Vous pouvez profiter de la charte pour mettre en garde, brièvement, les utilisateurs contre les principaux risques informatiques auxquels ils sont exposés, en particulier :
- Le phishing : une attaque classique consistant à diriger l'utilisateur vers un site frauduleux à partir de mails ou de documents semblant officiels, comme une facture de fournisseur.
- Le social engineering, où le pirate se fait passer pour quelqu’un d’autre afin de récolter des informations sensibles comme des identifiants et mots de passe.
- Les vecteurs susceptibles de contenir et diffuser des programmes malveillants : téléchargement, pièce jointe, site Web douteux ou branchement de périphériques non sécurisés, comme des clefs USB, sur un poste relié au réseau de l’entreprise.
Enfin, pour que la charte joue pleinement son rôle, vous devez vous assurer qu’elle est opposable : il faut être certain que tout utilisateur en a pris connaissance, en demandant par exemple une signature.