La confiance des membres repose sur une bonne gestion des risques

Par Claudiu Popa et Julie King

rating

Pour maîtriser certains concepts de comptabilité, il faut être en mesure de comprendre ce que cela veut dire que d’avoir la garde des actifs et des informations. Imaginez le scénario suivant, à la fois effrayant et réaliste : un membre d’une association gérée par des bénévoles aide à effectuer la transition à une nouvelle base de données pour les membres. La liste actuelle des membres et les données financières confidentielles sont compilées dans un chiffrier électronique complexe. Afin de faire avancer le projet, la personne bénévole envoie ce fichier – sans qu’on le lui demande – au développeur par courriel plutôt que d’utiliser la boîte de dépôt sécuritaire de la compagnie.

La personne bénévole a les meilleures intentions du monde, mais ne réalise pas l’ampleur du risque ainsi créé lorsque la liste des membres est envoyée par courriel non sécuritaire. Le résultat est catastrophique : la base de données des membres est exposée et lorsque l’association réalise qu’elle est à la source du manquement aux règles de sécurité, elle fait alors face à l’achat de trois ans de protection contre le vol d’identité pour ses 3 000 membres, au coût de 200 $ par membre.

La sanction financière s’élève à 600 000 $. Les frais reliés à la perte de confiance des membres sont incalculables.

Personne n’aime la tâche d’aborder les préoccupations en matière de protection et de sécurité, mais le message est simple : que vous le vouliez ou non, en tant que professionnel* oeuvrant pour une association, la mise en place de solides stratégies de gestion des risques est essentielle pour la santé à long terme de votre organisation.

Les étapes suivantes vous aideront à vous diriger dans la bonne voie afin de protéger les informations sensibles et confidentielles que possède votre organisation.

Création et respect d’une politique

-          Mettez sur pied une politique pertinente sur la protection des renseignements personnels, puis assurez-vous qu’elle soit respectée.

-          Autorisez des accès de circonstance et offrez une formation appropriée.

-          Soyez prêt à appliquer des mesures correctives pour bloquer l’accès et pour effectuer une reprise au point de contrôle au besoin.

Vous devez reconnaître le fait que les bénévoles, les membres et les fournisseurs peuvent représenter autant de risque qu’un membre du personnel de l’association; ainsi, toutes les recommandations ci-dessus s’appliquent à tous.

Être prêt à aborder des risques à multiples facettes

-          Tout commence et prend fin avec des mots de passe. Assurez-vous qu’ils sont solides et bien gérés.

-          Assurez-vous que les moyens pour transmettre des données correspondent au degré de confidentialité de ces derniers.

-          Visez à comprendre les vulnérabilités du système qui exposent vos données confidentielles et travaillez avec les fournisseurs pour en atténuer les risques.

-          Prenez en compte les différentes aptitudes et contraintes des personnes de votre organisation.  Travaillez en comité pour accomplir les tâches et pour prendre des décisions importantes.

-          Ne faites pas abstraction des menaces physiques à la sécurité : gérez vos bacs à recyclage, scrutez les clés USB ne provenant pas de l’organisation et renforcez les politiques de salle de télécopieur/photocopieur pour protéger les données confidentielles.

Utiliser des listes de vérification pour vous prémunir contre l’erreur humaine

-          Créez des listes de vérification pour vous assurer que les informations sensibles et confidentielles sont protégées chaque fois qu’elles sont utilisées par une personne de l’organisation, que ceci soit fait en ligne ou non.

-          Travaillez de concert avec les membres de votre personnel pour mettre en place d’autres procédures simples afin de renforcer les politiques importantes.

-          Assurez-vous que tous les membres du personnel et toutes les tierces parties ont l’obligation de rendre compte. Rappelez-vous que votre association n’a souvent que la garde de ces données, elle ne les possède pas; mais un mauvais usage de ces informations peut entraîner des frais de responsabilité très élevés.

Le risque n’est pas qu’un simple terme, c’est une réalité que votre association ne peut se permettre d’ignorer.

* Veuillez prendre note que la forme masculine a été privilégiée dans ce texte uniquement afin d’en alléger la lecture.

Share | |
print

Ressources