L’étiquette des affaires a une règle d’or: traiter les autres avec respect et attention. Il en va de même pour encourager la cybersécurité au travail, qu’il s’agisse de la sécurité des mots de passe ou de la protection d’informations précieuses comme les numéros de dossier fiscal.
Mais comment encourager un comportement cybernétique au travail sans devenir le râleur du bureau?
L’astuce, comme souvent dans la vie, consiste à encourager les bons comportements avec tact et en proposant des solutions utiles. Vilipender ou se moquer de ceux qui font la mauvaise chose n’aidera probablement pas.
En bref, proposer des alternatives et ne pas faire de reproches.
Quel est votre mot de passe?
De nombreuses organisations ont des politiques visant à empêcher le partage des mots de passe (et la plupart, à l’heure actuelle, décourageraient activement les gens de conserver leurs mots de passe sur un post-it collé sur un ordinateur). Cependant, demander un mot de passe à d’autres personnes n’est pas encore nécessairement considéré comme un tabou.
Peut-être votre collègue veut-il utiliser votre ordinateur et vous demande-t-il votre identifiant. Ou il a peut-être besoin d’accéder à un répertoire partagé tel que Dropbox mais a oublié le mot de passe.
Si vous êtes réticent à partager votre mot de passe personnel, votre instinct est bon. Shutterstock
Si vous êtes réticent à partager votre mot de passe personnel, ou à diffuser un mot de passe d’équipe dans Slack ou sur un chat de groupe, votre instinct est bon. Les mots de passe sont des éléments d’information extrêmement précieux, et de nombreuses violations catastrophiques de la sécurité peuvent être attribuées à une mauvaise gestion des mots de passe au travail.
Mais si votre collègue vous demande un mot de passe, plutôt que de répondre par un non court et tranchant, adoucissez le coup en lui demandant pourquoi il le veut. S’il y a une raison légitime, travaillez avec lui pour résoudre le problème – sans rien donner.
Par exemple, au lieu d’afficher un mot de passe de boîte de dépôt sur Slack, pouvez-vous les diriger vers le gestionnaire de mots de passe de votre organisation et les aider à apprendre comment en récupérer les mots de passe? S’il s’agit de l’accès à un ordinateur dont ils ont besoin, pouvez-vous les aider à redémarrer un ordinateur et à se connecter en tant qu’invité plutôt que comme vous?
N’envoyez jamais de noms d’utilisateur et de mots de passe par courrier électronique.
Si des systèmes ne sont pas en place au travail pour aider les personnes qui ont besoin d’accéder à un mot de passe partagé ou à un terminal informatique, demandez à votre équipe informatique de trouver des solutions à long terme. Cela peut inclure l’investissement dans un gestionnaire de mots de passe tel que 1Password, Dashlane ou LastPass.
Les fichiers peuvent être partagés au sein des équipes via OneDrive, Dropbox ou tout autre référentiel organisationnel afin de réduire la nécessité pour un collègue d’accéder à votre ordinateur pour en extraire un fichier.
Veuillez remplir ce formulaire confidentiel et me l’envoyer par e-mail
Il n’est pas rare que le personnel des services informatiques, des ressources humaines, des finances ou des services administratifs bien intentionnés vous demandent de remplir un formulaire contenant des informations sensibles et de le renvoyer par courrier électronique.
Même des médecins et des avocats sont connus pour avoir mal traité des documents comportant des signatures, des numéros de dossier fiscal ou d’autres informations d’identification telles que des anniversaires.
Ne vous sentez pas obligé de le faire. Le fait est que ces informations sont inestimables pour les pirates informatiques et les voleurs d’identité. Si le courrier électronique de votre lieu de travail subit une violation de données, les mauvais acteurs peuvent être en mesure de récupérer ces formulaires scannés dans les boîtes de réception qu’ils ont envahis.
La plupart des organisations disposent de moyens sécurisés pour transférer des fichiers, allant d’une solution de stockage en nuage à des sites de partage de fichiers sécurisés. Utilisez-les, et jamais vos solutions personnelles de courrier électronique ou de cloud computing.
Si votre organisation ne dispose pas d’un moyen sécurisé de sauvegarder les fichiers, vous pouvez en utiliser un et envoyer le lien à votre collègue dans un e-mail de travail.
Vous pouvez également envoyer un PDF crypté par courrier électronique, ce qui permet de contrôler beaucoup plus étroitement qui peut accéder au fichier.
Parfois, les solutions les plus sûres sont les plus simples. Faites comme à l’époque: apportez les documents à la personne au lieu de les scanner et de les envoyer par e-mail.
Si on vous demande d’envoyer des informations personnelles de manière non sécurisée, cachez votre visage de Pikachu. Dites plutôt Nous sommes censés transférer des fichiers de cette façon. Si vous voulez, je peux vous montrer comment pour la prochaine fois?
Proposer une solution, plutôt que de faire honte, est beaucoup plus susceptible de conduire au changement.
Parfois, les solutions les plus sûres sont les plus simples; si vous le pouvez, il suffit d’apporter les documents à la personne concernée au lieu de les scanner et de les lui envoyer par courrier électronique. Shutterstock
Pouvez-vous transmettre mon CV?
Les demandeurs d’emploi peuvent essayer de mettre le pied dans la porte en faisant appel à un ami ou à un ancien collègue. Beaucoup d’entre nous seraient ravis d’aider un ami en transmettant son CV au patron.
Malheureusement, les acteurs malveillants de toutes sortes le savent aussi. Comme le souligne cet article, les faux CV peuvent être envoyés par courrier électronique avec une pièce jointe Microsoft Excel. Lorsqu’il est ouvert, le fichier joint peut lancer un logiciel malveillant qui:
…puis tente de détourner des informations privées, des informations d’identification des utilisateurs des institutions financières ciblées, ainsi que des mots de passe et des cookies stockés dans les navigateurs web. Les attaquants peuvent ensuite exploiter ces acquisitions pour effectuer des transactions financières.
Les logiciels malveillants ne sont pas seulement intégrés dans les liens et les pièces jointes – même les messages LinkedIn peuvent contenir des logiciels malveillants. Les conséquences de l’ouverture de ces liens ou pièces jointes peuvent être extrêmes, et peuvent même inclure des logiciels de rançon (lorsque les pirates refusent l’accès aux fichiers ou aux systèmes en ligne jusqu’à ce que la victime paie).
Même les messages LinkedIn peuvent contenir des logiciels malveillants. Shutterstock
Ne transmettez pas de CV, surtout si la personne est l’ami d’un ami. Transmettez plutôt le nom de la personne au patron, afin qu’il puisse le consulter sur LinkedIn. Ne suivez pas les liens qui vous sont envoyés, même par des contacts de confiance. Il est souvent difficile de vérifier les liens sans cliquer dessus et vous risquez d’être redirigé vers un site malveillant.
Et si vous êtes le demandeur d’emploi, démontrez votre propre conscience de la cybersécurité en ne faisant pas circuler de CV ou d’autres documents contenant des informations personnelles qui pourraient être utiles à des voleurs d’identité. Pas d’anniversaires, pas d’adresses, juste un e-mail, un numéro de téléphone portable et LinkedIn.
La même règle s’applique aux codes QR – n’ouvrez pas aveuglément la page web pointée sur le code QR d’une carte de visite. Vous risquez d’obtenir plus que ce que vous avez négocié.
Résister à la tentation de faire quelque chose de dangereux dans les délais impartis
Malheureusement, de nombreux lieux de travail considèrent encore que les comportements non sécuritaires sont largement acceptables et la pression exercée pour faire quelque chose de dangereux, en particulier lorsqu’il s’agit de respecter les délais, peut être profonde.
Mais en agissant de manière respectueuse et utile, vous pouvez améliorer la réputation de votre bureau en tant que membre du personnel cybernétique et contribuer à réduire les risques pour votre organisation.
Images utilisées avec l’aimable autorisation de Pexels/Pixabay
Cet article est republié à partir de La Conversation sous une licence Creative Commons. Lire l’article original.