Aller au contenu principal
  • 7 min de lecture

Dans la plupart des PME, le partage d’information sensible est considéré comme la responsabilité du service informatique., c’est une ou deux personnes. Ces collègues gèrent les accès, les mises à jour, les permissions, l’environnement Microsoft 365, le support technique quotidien. C’est un travail essentiel qu’on a tendance à tenir pour acquis parce qu’on ne les voit pas toujours. Mais entre ce que ces personnes mettent en place et la façon dont ton équipe partage l’information sensible au quotidien, il y a un espace que personne ne couvre.

La protection des données confidentielles en équipe est l’une des problématiques que vivent les gestionnaires de PME au quotidien. Si tu veux explorer d’autres enjeux qui freinent la performance de ton équipe, notre guide complet sur l’optimisation de Microsoft 365 pour les leaders d’équipe te donne une vue d’ensemble.

Selon Ponemon Institute, 56 % des incidents de sécurité liés aux personnes à l’interne sont causés par la négligence, pas par de mauvaises intentions. Des collègues pressés, sans règles claires, qui font au plus vite avec ce qu’ils connaissent. Avant de chercher comment corriger la situation, il faut voir clairement ce qui se passe.

Ton équipe prend le chemin le plus court. Souvent sans le réaliser.

Quand il n’y a pas de règles claires sur comment les données confidentielles circulent dans une équipe, chaque personne fait au plus simple. Dans une PME, la protection des informations sensibles n’est pas uniquement une responsabilité informatique. Elle relève aussi du gestionnaire qui encadre la façon dont son équipe utilise les outils au quotidien.

  • Un membre de ton équipe envoie une soumission avec des marges et des prix par Outlook au lieu de partager un lien SharePoint avec des permissions. C’est fait en 30 secondes. Mais une fois que le courriel est parti, tu n’as plus aucun contrôle sur ce qui arrive avec le fichier. Il peut être transféré, copié, ouvert sur un appareil personnel. Et tu ne le sauras probablement jamais.
  • Des numéros de compte, des données de paie ou des noms de clients avec des montants se retrouvent dans des canaux Teams accessibles à tout le département. Pas par malveillance. Par habitude.
  • Quelqu’un copie-colle des données clients dans un outil d’intelligence artificielle externe pour rédiger un courriel plus rapidement. L’information sort de ton environnement sans que personne le sache.

Microsoft 365 inclut des outils pour encadrer tout ça. SharePoint permet de partager un lien avec des permissions précises. Microsoft Purview permet de classifier un document comme confidentiel et d’en restreindre le partage automatiquement. Mais personne dans ton équipe ne les utilise parce que personne ne leur a dit que c’était la règle. Le courriel est plus rapide, plus familier. Et quand personne ne dit rien, le raccourci devient la norme. Les outils M365 comme SharePoint ou Microsoft Purview protègent l’information sensible seulement si des règles d’utilisation sont définies. Sans encadrement clair, même les meilleurs outils de sécurité deviennent inefficaces.

Des collègues dans ton équipe utilisent des outils que tu ne connais pas

Selon CybSafe, 38 % des personnes en emploi admettent partager de l’information sensible dans des outils d’intelligence artificielle sans que leur employeur le sache. Et ce n’est pas limité à l’intelligence artificielle. Quelqu’un envoie un fichier sur son courriel personnel pour travailler de la maison. Un autre utilise un outil de partage de fichiers gratuit parce que c’est plus simple que de passer par SharePoint.

Ce ne sont pas des collègues irresponsables. Ce sont des collègues qui n’ont pas de règles claires sur ce qu’ils peuvent et ne peuvent pas faire avec les renseignements de l’entreprise. Alors ils font ce qui est le plus efficace pour eux. Et quand la confiance entre collègues repose sur l’idée que tout le monde fait attention, mais que personne ne sait exactement à quoi faire attention, c’est la dynamique de l’équipe qui s’effrite en silence.

Les erreurs arrivent quand tes collègues sont pressés

Selon une étude de Zivver menée auprès de 2 000 personnes en emploi, 33 % ont déjà envoyé la mauvaise pièce jointe par courriel et 32 % ont envoyé un courriel à la mauvaise personne. Ces erreurs arrivent surtout quand les personnes sont pressées (54 %) ou stressées (40 %).

Dans une PME, une seule erreur de ce type peut exposer des données clients, des ententes commerciales ou des renseignements financiers. C’est un client qui perd confiance. C’est un partenaire qui voit des marges qu’il n’aurait jamais dû voir. Et c’est toi, comme responsable d’équipe, qui dois gérer les conséquences d’un comportement que personne n’avait encadré.

Si en lisant ça tu te dis que ton équipe aurait besoin de règles plus claires, [notre article sur les solutions concrètes]([LIEN INTERNE: Article Solution non ciblée – Thème Partage info sensible]) t’explique comment les mettre en place avec ton service informatique.

Chaque nouvelle personne reproduit les mêmes habitudes

Quand quelqu’un de nouveau rejoint ton équipe, il regarde comment les autres travaillent et il fait pareil. S’il voit que tout le monde envoie des fichiers sensibles par courriel, il va faire la même chose. S’il voit que les données clients sont discutées ouvertement dans un canal Teams général, il va penser que c’est normal.

Il n’y a rien d’écrit qui dit « voici comment on protège les renseignements confidentiels dans notre équipe ». Le résultat, c’est que les habitudes se transmettent d’une personne à l’autre, et le problème grossit avec chaque nouvelle arrivée. La conversation sur les règles n’a jamais lieu entre collègues, parce que personne ne sait que c’est sa responsabilité de la lancer. Et plus le temps passe sans que cette conversation ait lieu, plus il devient difficile de changer ce qui est devenu la façon de faire.

C’est pas juste la job du service informatique

Le service informatique fait sa part. Les accès sont configurés, les permissions sont en place, les outils de protection sont disponibles dans l’environnement. Mais il ne peut pas savoir comment chaque personne dans chaque équipe partage l’informations sensibles au quotidien. Il ne peut pas voir qu’un chef d’équipe envoie des marges par courriel ou qu’un canal Teams contient des données de paie. Ce sont des comportements qui se passent dans le quotidien de ton département, pas dans la console d’administration.

Gestionnaire hésitant entre son équipe et le service TI sur la responsabilité du partage d’information sensible dans Microsoft 365

Il y a une partie de la responsabilité qui revient au gestionnaire d’équipe. Pas pour devenir un expert en sécurité. Pour définir des règles claires dans son équipe et travailler avec le service informatique pour s’assurer que tout le monde sait ce qui peut être partagé, avec qui, et par quel canal. Quand les deux font leur part, l’information est protégée. Quand juste un des deux le fait, il y a un trou. Dans les PME, la sécurité de l’informations sensibles fonctionne seulement quand la technologie et la gestion d’équipe travaillent ensemble. L’un ne remplace jamais l’autre.

Personne ne t’a dit que c’était aussi ta responsabilité

Si tu te reconnais dans ce qui précède, c’est normal. La plupart des directeurs de département et des responsables d’équipe n’ont jamais reçu cette responsabilité de façon explicite. On leur a donné des outils, un accès à Microsoft 365, et on a assumé que quelqu’un d’autre s’occupait du reste.

Ton équipe n’est pas négligente. Ce n’est pas une question de blâme. Ce qui manque, c’est des règles claires sur comment l’information confidentielle circule, et un responsable qui les porte au quotidien.

Voir le problème, c’est déjà le début

Maintenant que tu vois ce qui se passe, la question devient concrète. Comment tu fais pour reprendre le contrôle sur la façon dont ton équipe protège ses données confidentielles, en travaillant avec ton service informatique au lieu de tout lui laisser sur les épaules?

[Dans notre prochain article]([LIEN INTERNE: Article Solution non ciblée – Thème Partage info sensible]), on explique comment observer la façon dont ton équipe partage d’information sensible, comment définir des règles claires avec ton service informatique, et comment t’assurer que ces règles tiennent dans le temps.

Si tu veux explorer d’autres problématiques que vivent les responsables d’équipe au quotidien, notre guide complet sur l’optimisation de Microsoft 365 pour les leaders te donne une vue globale.

.

Infolettre

Recevez des conseils adaptés aux PME pour naviguer avec confiance dans un monde numérique en évolution.

Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.
Conditions d'acceptation(Nécessaire)

Articles similaires

Employé en télétravail participant à une visioconférence, illustrant les nouveaux défis de sécurité informatique en contexte hybride.
Blog

6 outils pour assurer la sécurité informatique en télétravail pour votre PME

Le travail hybride offre de nombreux avantages, notamment une plus grande flexibilité pour votre équipe et une réduction des coûts opérationnels. Cependant, cette nouvelle façon...

Gestionnaire préparant un business case sur les risques liés au partage de données sensibles dans Microsoft 365 afin de présenter la situation à la direction.
Blog

Encadrer le partage des données sensibles dans Microsoft 365

À titre de leader, tu as observé que le partage de données sensibles sans règles claires, tel que des devis avec des marges en pièce...

Gestion des données d’entreprise et tableaux de bord numériques illustrant l’importance d’une gouvernance efficace pour assurer la conformité à la Loi 25.
Blog

La gouvernance des données en sécurité informatique, une étape cruciale vers votre conformité à la Loi 25

En affaires, vous le savez, les décisions s’enchaînent rapidement et les priorités évoluent sans cesse. Entre la gestion des opérations, le suivi des clients et...