En matière de cybersécurité, toutes les précautions du monde seront inutiles si elles ne sont pas appliquées. Leur efficacité dépend en effet largement de la bonne volonté des opérateurs. Or, ceux-ci s’autorisent parfois certaines libertés. Il ne s’agit pas, ici, d’ignorance des règles, mais bien d’une volonté délibérée de s’en dispenser. Mais alors pourquoi les employés enfreignent ils les protocoles ? Comment expliquer cette attitude et surtout, comment s’en protéger ? À l’heure du télétravail, cette question est d’une brûlante actualité, surtout pour les professionnels de santé qui manipulent des données particulièrement sensibles.
Pourquoi les salariés enfreignent-ils les protocoles ?
Deux chercheurs américains, Mindy Ross et Clay Posey, ont souhaité répondre à cette question en interrogeant 330 salariés en télétravail. Les résultats de leur étude, publiés dans la Harvard Business Review, sont éclairants. Si les employés violent les protocoles de cybersécurité, ce n’est presque jamais par malveillance, mais plutôt dans un but louable. Pourquoi les employés enfreignent ils les protocoles ? Dans les deux tiers des cas, ils se montrent simplement désireux de gagner en efficacité en contournant les procédures. Ils espèrent ainsi améliorer leur productivité. Parfois, c’est par altruisme qu’ils agissent ainsi. En effet, dans un cas sur cinq, les opérateurs contournent le protocole pour aider un collègue en difficulté. Enfin, soumis à une situation de stress, certains salariés choisissent volontairement de passer outre les règles de cybersécurité. Ce stress peut trouver son origine dans le milieu professionnel, la situation familiale ou encore le protocole de sécurité lui-même !
Avec l’explosion du télétravail, auquel ont recours de nombreux professionnels de santé, cette situation s’avère problématique à double titre. Tout d’abord, les connexions distantes requièrent des précautions supplémentaires qui ne sont pas toujours appliquées ni même connues. De plus, le salarié en télétravail, plus facilement laissé à lui-même, peut avoir à opérer seul un arbitrage entre efficacité et sécurité au détriment de cette dernière. Les structures de santé doivent donc, à tout prix, prendre les mesures qui s’imposent.
Sensibilisation et adaptation des protocoles
Pourquoi les employés enfreignent ils les protocoles ? Si les salariés réagissent ainsi, c’est en partie parce que les protocoles de cybersécurité ne sont pas adaptés. Ceux-ci doivent être régulièrement mis à jour et ajustés aux pratiques de la structure de santé. Le télétravail ou le BYOD requièrent par exemple l’application de règles spécifiques. Par ailleurs, les règles édictées doivent être simples, claires et faciles à mettre en œuvre.
Cela, bien sûr, ne suffit pas, si les opérateurs demeurent peu convaincus. Mais comment les convaincre ? S’ils connaissent les règles et les contournent néanmoins, que peut-on y faire ? À vrai dire, la connaissance de la règle ne suffit pas si elle ne s’accompagne pas d’une compréhension profonde. En d’autres mots, les salariés doivent être formés, non seulement aux bonnes pratiques, mais également aux enjeux vitaux de la cybersécurité. On applique toujours mieux une règle que l’on comprend bien. Ce travail de pédagogie passe par le recours à des mises en situation et à des exemples concrets. L’effort de formation doit être fréquent et constant. Il n’est pas inutile, en outre, de rappeler aux salariés leurs obligations en matière de sécurité et les contraintes qui pèsent sur les professionnels de santé quant à la confidentialité de leurs données.
Les bonnes pratiques
Par ailleurs, il est important d’insister sur certains détails, qui n’ont rien d’accessoire. La politique de mise en œuvre des mots de passe est notamment essentielle. Car la bonne pratique consistant à changer de mot de passe tous les mois ne s’applique que dans un tiers des entreprises. Les responsables informatiques doivent adopter en la matière une politique d’incitation active. Ils doivent proposer aux salariés des outils de gestion de mots de passe performants. Les dirigeants doivent également montrer l’exemple.
Autre sujet crucial, le phishing, dont malheureusement trop de salariés sont encore victimes. Cette pratique malveillante repose sur des techniques de plus en plus précises, qui ciblent le maillon faible de la sécurité informatique : l’élément humain. Il est toujours plus facile de manipuler un salarié que de s’attaquer à un logiciel sécurisé. Les salariés des structures de santé doivent donc apprendre à repérer les mails suspects : adresse, rédaction, liens, incitation à agir immédiatement… Ils doivent également apprendre à se méfier d’eux-mêmes. Aider un pseudo collègue, céder à des menaces, cliquer sur un lien par curiosité sont autant de réactions bien humaines et potentiellement dangereuses.
Un environnement de travail propice
Les professionnels de santé doivent respecter des obligations drastiques en matière de sécurité des données. Pour encourager leurs salariés à respecter les règles et leur faciliter la tâche, ils doivent leur proposer un environnement de travail simple et ergonomique, déployant des outils efficaces.
DropCloud vous propose un panel de solutions performantes et sécurisées. Notre plateforme de travail collaboratif WeDrop, très adaptée aux télétravailleurs, permet de sécuriser le travail à distance. Le logiciel WeSend permet l’envoi de fichiers volumineux en toute sécurité. Enfin, NeoBe assure la sauvegarde de vos données de santé sur des serveurs distants, situés en France, afin de permettre une restauration 24 h sur 24.
Les outils DropCloud sont certifiés ISO27001 HDS, norme propre aux hébergeurs de données de santé. Ils bénéficient d’un certificat SSL 128 bits. Toutes les données sont cryptées, et protégées par mots de passe et certificats.
Avec DropCloud, vos salariés bénéficient d’un environnement de travail ergonomique et performant. La mise en œuvre des protocoles de sécurité en est facilitée, et vos obligations en matière de protection des données de santé sont ainsi mieux assurées.