Comment garantir une sécurité adéquate des données et des personnes en cas de dénonciation ? C'est l'une des plus grandes préoccupations des entreprises lorsqu'elles mettent en place leur dispositif d'alerte éthique. C'est pourquoi nous avons consacré un chapitre entier à la sécurité en matière de dénonciation dans le nouveau guide de WhistleB, Le guide pour mettre en place un dispositif d'alerte éthique qui augmente la satisfaction des clients et des employés..

Cet article est le quatrième d'une série d'articles de blog de l'été publiant des extraits du nouveau guide. Le guide couvre les ressources, comment soumettre un rapport d'alerte éthique, les aspects juridiques, la culture et oui, la sécurité des données dans le cadre des alertes éthiques, le sujet de cet article.

 

Sécurité en matière de dénonciation – éléments indispensables lors du choix de votre fournisseur de solutions

La sécurité en matière de dénonciation est importante, car la fiabilité est primordiale lors du traitement de données sensibles. Pour créer la confiance, il faut protéger le lanceur d'alerte et les personnes accusées, et protéger les données sensibles. Cela peut se faire par le biais de systèmes d'alerte sécurisés.

La sécurité en matière de dénonciation protège les lanceur d'alertes anonymes

Forts de nos nombreuses années d'expérience en tant que clients, nous savons que l'anonymat des lanceur d'alertes est essentiel pour obtenir des informations critiques pour l'entreprise, et donc pour tirer le meilleur parti d'une solution d'alerte éthique. Tout simplement, si les lanceur d'alertes sont autorisés à rester anonymes, la confiance dans le système sera plus grande et des informations plus pertinentes seront probablement communiquées.

Tout lanceur d'alerte qui souhaite rester anonyme doit avoir confiance que la solution d'alerte professionnelle préservera son anonymat, depuis le signalement jusqu'à la clôture de l'affaire, en passant par le dialogue et la gestion des cas. Des solutions sécurisées et basées sur la technologie sont le moyen de garantir un anonymat aussi étendu. Alors, que faut-il pour qu'une solution d'alertes professionnelles garantisse l'anonymat d'un lanceur d'alerte ?

  • Une solution d'alertes professionnelles, distincte de l'environnement informatique propre à l'organisation, est une option efficace, et c'est peut-être aussi le moyen le plus efficace de débuter. Le dispositif d'alerte éthique doit garantir que le lanceur d'alerte peut rester anonyme et ne pas être suivi à travers les pares-feux de l'entreprise. C'est pourquoi vous ne devriez pas gérer un dispositif d'alerte éthique dans votre propre environnement informatique, mais plutôt dans un environnement séparé.
  • Les métadonnées relatives à un lanceur d'alerte ne doivent pas être suivies ou traçables. Évitez d'enregistrer des données qui pourraient permettre de suivre un lanceur d'alerte, telles que les adresses IP.
  • La solution d'alerte doit inclure un canal de signalement crypté et sécurisé qui permet au lanceur d'alerte de rester anonyme même pendant le dialogue de suivi. Cela permet au gestionnaire du dossier de demander des données de suivi essentielles.

L'anonymat doit être assuré sur le plan technologique. L'anonymat par défaut n'est tout simplement pas suffisant.

La sécurité des alertes éthiques protège les données sensibles

Nous ne saurions trop insister sur l'importance d'une gestion sécurisée des données. La plupart d'entre nous doivent s'en remettre à des experts pour assurer une sécurité informatique adéquate. L'astuce consiste donc à choisir un fournisseur externe disposant de compétences avérées en matière de sécurité des données. Avec un développeur externe, vous évitez que les développeurs internes aient accès à votre code ou à vos données.

Parmi les principaux éléments de sécurité à prendre en compte lors du choix de votre fournisseur de solutions de dénonciation, citons :

  • Parmi les principaux éléments de sécurité à prendre en compte lors du choix de votre fournisseur de solutions de dénonciation, citons :
  • la détection et prévention des intrusions
  • le cryptage des données lors de la transmission et du stockage
  • les rapports d'activité par cas et par utilisateurs
  • la redondance des données (pour ne jamais perdre de données)

Le système doit être développé selon le principe de la sécurité « dès la conception ». Qu'est-ce que cela signifie Tous les documents de communication et d'enquête doivent être conservés dans une application de gestion des cas protégée. Les gestionnaires de cas doivent être guidés par l'application pour gérer correctement les cas et les données. Par exemple, cela devrait être aussi intuitif que possible pour clore un dossier de manière appropriée, c'est-à-dire pour supprimer les données à caractère personnel avant l'archivage permanent (pour les responsables du traitement des données dans l'UE). Par ailleurs, les gestionnaires de cas devraient être informés des activités importantes et il devrait être facile pour les gestionnaires de dossiers désignés de communiquer en toute sécurité entre eux.

La sécurité en matière de dénonciation doit reposer sur des processus techniques sûrs conçus pour qu'il soit le plus difficile possible de passer outre aux contrôles. La sécurité par défaut n'est pas suffisante.

 

Passer au numérique pour renforcer la sécurité en matière de dénonciation

Un dispositif d'alertes professionnelles numérique réduit de manière significative les risques liés à la sécurité de l'information. Les risques sont considérablement réduits quand les données sont disponibles dans le dispositif d'alertes professionnelles numérique, et ce tout au long de la procédure de traitement d'un cas, et qu'elles ne restent pas dans l'ordinateur ou la boîte de réception d'un collaborateur. Les données critiques qui sont mieux protégées dans un système numérique de lanceur d'alerte et de gestion des cas peuvent comprendre le dialogue avec le lanceur d'alerte, le matériel d'enquête, les missions, les pistes d'audit, ainsi que les données archivées et supprimées.

L'utilisation d'un dispositif de signalement et de gestion des cas numérique offre un autre avantage : la structure et les procédures automatisées renforcent la sécurité et réduisent le temps de latence inhérent au traitement d'un rapport, ce qui permet d'améliorer l'efficacité de la procédure. La simplicité d'un dispositif numérique de lancement d'alerte en fait une option à la fois efficace et rentable.

Les menaces à la sécurité en matière de dénonciation sont en constante évolution et doivent être surveillées en permanence. Assurez-vous que votre dispositif d'alerte éthique est régulièrement soumis à des tests professionnels de pénétration et de vulnérabilité. Votre fournisseur doit veiller à ce que le système soit surveillé à tout moment pour atténuer les risques de sécurité des données, de sorte que vos informations et toutes les données personnelles contenues dans le système soient systématiquement protégées. La surveillance de la sécurité des données doit également s'appliquer aux sous-traitants de votre fournisseur, tels que les fournisseurs de plateformes informatiques, les fournisseurs de stockage de données, etc. Cherchez un dispositif d'alerte éthique qui respecte toutes les normes internationales pertinentes en matière de sécurité de l'information.

WhistleB estime qu'il n'y a aucune excuse pour ne pas faire tout son possible pour choisir un fournisseur dont la sécurité des données est la priorité absolue. Mais la sécurité ne s'arrête pas là. Nous avons vu des cas où des données confidentielles et sensibles sont partagées avec des collègues ou des amis. Gardez toujours la sécurité en tête tout au long du processus. La sécurité en matière de dénonciation est primordiale, car la fiabilité est essentielle.

Originally published by WhistleB, August 2020

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.