Lorsque votre Top Management demande à votre équipe si les mesures nécessaires ont été prises, en termes de mise en conformité réglementaire ou de protection des données, assurez-vous de ne pas avoir minimisé votre stratégie de communication en la matière.

Les stratégies de communication, tant internes qu’externes, ne font pas seulement parties du « best effort » à fournir, mais elles apparaissent comme un véritable vecteur mélioratif inhérent à la gouvernance des données de votre organisation.

Ces stratégies aboutissent à une

  • meilleure gestion des données,
  • au renforcement de la réputation de l’organisation
  • et assied au mieux la position du DPO en brisant les silos interdépartementaux en intégrant votre équipe auprès des métiers.

Selon une étude de Poppulo’s Global IC Survey, un seul département sur trois aurait une stratégie de communication.

La communication répond à une stratégie organisationnelle globale dans le sens où elle contribue à plusieurs aspects :

  • En amont, votre communication impacte directement les politiques de gouvernance/protection des données et de la vie privée en limitant l’impact du facteur humain, encore bien trop responsable dans leur appétence au risque. Elaborer une communication cohérente permet de sensibiliser les métiers tout en répondant à un besoin de contrôler l’interaction entre les utilisateurs et la technologie.
  • En aval, elle contribue à la sauvegarde des intérêts de votre organisation tout en appuyant le département légal au travers de la constitution d’un dossier pré-contentieux, d’une communication externe de déclaration, de PON[1] (ou SOPs) en cas d’incident et de dossier pour la CNIL.

Les axes de la structure d’une communication effective

En interne – Renforcer les usages des utilisateurs

Les usages des utilisateurs sont des variables inhérentes au facteur humain peu souvent constantes. Perception différente du risque, volonté de gagner du temps, méconnaissance des politiques internes sont tant de paramètres différents ayant possiblement un impact sur la bonne gestion des données, et donc sur la sécurité. Comprenons alors que les salariés n’ont pas des comportements et des responsabilités uniformes mais hétérogènes.

La considération du facteur humain est devenue un objectif primordial dans le cadre de l’élaboration des politiques et chartes de sécurité des organisations. Il est ainsi primordial d’imaginer de nouveaux procédés et de nouvelles procédures de de formation et de contrôles pour stabiliser au mieux les comportements.

En ce sens, votre stratégie de communication ne peut pas être que globale mais spécialisée en fonction de l’appétence aux risques des départements au regard de leur activité. Bien que la technologie ait tendance à limiter les erreurs du fait de l’homme, celle-ci se doit d’être appuyée fortement par une bonne communication quant aux bons usages en s’appuyant sur les tendances et les risques récurant des métiers.

L’analyse comportementale apparaitra comme un atout dans l’élaboration de notre communication et de notre campagne de formations innovantes et mesurables.

En interne – Former hors des campagnes traditionnelles

Les programmes de formations déployés au sein des organisation sont certainement bénéfiques pour réduire les risques résiduels. L’arsenal traditionnel dont nous disposons, à savoir les formations, publications, séminaires, meeting sont de bons éléments pour rafraichir la mémoire des utilisateurs.

Cependant, vous en conviendrez, les défauts qui y sont associés limitent l’efficacité de ces campagnes de formation. La perte de temps/productivité du collaborateur lors de sa formation au profit d’une éducation orienté gestion du risque n’est qu’éphémère et n’est pas mesurable, ni adaptée.

En outre, le temps passé en formation bien que justifiable et indispensable soit-il, n’est pas appuyé par des indicateurs de performance ni élaborer sur des fondements originaux

Nous en parlions, le facteur humain est une variable inconstante dépendant de chaque professionnel. Il serait alors contreproductif de globaliser les campagnes de formations et de les limiter à « comment le bon professionnel de sa catégorie doit agir ». La perception du risque doit se tourner vers le comportement de l’utilisateur afin d’être plus effectif.

Aussi, les campagnes de communication doivent impliquer les salariés dans les formations en s’adaptant à leur comportement afin d’effacer au mieux les risques résiduels. Ainsi, il convient de lier étroitement l’analyse comportementale des salariés, des applications et des activités à risques des départements. Les formations Opéra s’oriente vers une stratégie de personnalisation afin de parler aux métiers, de les sensibiliser en fonction de leur comportement et surtout de les impliquer dans une démarche de sécurité interne commune et collective.

Par ailleurs, par expérience, nous relevons que la mise en place d’indicateur de performance précis permet d’évaluer l’impact des formations au travers des usages des utilisateurs par département. Grace à des ambassadeurs, des contrôles et une méthodologie adaptée, nous avons pu dégager des indicateurs sur un an quant aux bénéfices des campagnes de formation et sensibilisation, ainsi qu’un indicateur des bons usages limitant le risque.

En externe – Préparer un dossier de communication en cas d’incident

La nature du risque a évolué au court de ces dernières années, dans le sens où, les menaces sont moins orientées vers l’exploit mais la discrétion. Les chapeaux noirs sont tournés vers les rootkits, spyware etc… Les dégâts sont alors infiniment plus ciblés et lourds en termes de réputation et financièrement pour les organisations que les « exploits » d’antan. Les organisations ne montrent qu’en pratique qu’une communication relativement tardive vers le public, peu précise et peu organisée.

La récente actualité liée aux incidents de fuite ou vol de données nous démontre aisément les lacunes de communication des organisations. Bien que les équipes en place fassent preuve d’un effort certain, ce manque d’anticipation a de fortes retombées.

En ce sens, votre procédure opératoire normalisée en cas d’incident doit intégrer un dossier de communication comme une étape aussi importante que les phases d’audit de risques, de réponse à l’incident et de post-incident. Ainsi, votre communication doit être claire, précise et détailler un certain nombre élément lié à l’incident, tant vis-à-vis du public que des personnes concernées.

Enfin, un tel dossier de communication doit être nourri d’informations relatives aux des mesures de sécurité entreprises et comprendre plusieurs scénarios en fonction des risques résiduels existants. Puisque communiquer ne signifie pas seulement informer, c’est aussi une opportunité de se défendre.

En externe – Développer une communication vers les personnes concernées

Votre stratégie de communication devient d’autant plus importante dans le sens où elle doit répondre à des obligations légales.

En l’espèce, l’article 34 du RGPD dispose que :

« 1. Lorsqu’une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, le responsable du traitement communique la violation de données à caractère personnel à la personne concernée dans les meilleurs délais. »

De plus, l’article 33 du RGPD impose également une obligation de notification à l’autorité de contrôle d’une violation de données à caractère personnel. En effet, ledit article dispose que :

« 1. En cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l’autorité de contrôle compétence conformément à l’article 55, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques. Lorsque la notification à l’autorité de contrôle n’a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard »

Par conséquent, nous comprenons que les stratégies de communication font parties intégrantes des réponses aux incidents au sein des organisations. Elles sont des obligations légales (notification à la CNIL et aux personnes concernées) et permettent de sauvegarder au mieux les intérêts des organisations (réputation, image, financier, relation client…).

Ainsi, organiser une stratégie de communication anticipant les multiples réponses à un éventuel incident sera un atout pour votre travail et vos collaborateurs. N’oubliez pas que la question à ce sujet n’est pas de savoir si vous allez rencontrer un incident lié aux données de l’organisation, mais demandez-vous si vous êtes prêt à y répondre car, l’incident lui arrivera de façon certaine.

—-

[1] Procédure Opératoire Normalisée, ou communément appelé Standard Operating Procédure en anglais.