Sécurité des données : pouvez-vous compter sur vos logiciels ?

Le niveau de protection de vos données doit être un critère majeur dans vos choix de logiciels de gestion. En effet, selon l'ANSSI "le niveau de la menace continue d'augmenter".

Protéger les données, une obligation pour les entreprises

La valeur des données de gestion des entreprises augmente à la faveur des progrès de la digitalisation. Plus nombreuses, de meilleure qualité, elles circulent plus vite et sont partagées entre davantage de personnes.

Tout concourt donc à ce que les données renforcent l’agilité des organisations et améliorent la prise de décision. C’est pourquoi il faut les protéger ! Des données perdues ou volées, c’est un pan du système d’information qui devient inopérant.

De plus, la réputation de l’entreprise peut aussi être affectée en cas de problème. La protection des données de ses clients fait partie du contrat de confiance. Surtout dans des domaines sensibles comme la finance, la technologie, la défense ou la santé.

Enfin, des complications juridiques peuvent s’ajouter au préjudice de la disparition de données. L’entreprise est tenue de mettre en œuvre des protocoles et des routines de protection. À commencer bien sûr par le respect du RGPD. 

S’abriter derrière plusieurs niveaux de sécurité

L’intégrité des données de gestion est menacée dès lors que le risque n’est pas évalué et conjuré de façon systématique. Par exemple, des erreurs de configuration des équipements, de mauvaises pratiques dans la gestion des accès ou des expositions mal sécurisées sur Internet ou les réseaux sociaux créent autant de vulnérabilités.

C’est pourquoi un premier niveau de protection est donné par la gouvernance des données. Pour organiser la défense, être en capacité de réagir vite en cas d’anomalie et développer une culture collective de vigilance, une politique de centralisation des données et de pilotage global est la règle.

La formation et l’entraînement des collaborateurs offrent un deuxième niveau de protection. La mauvaise appréciation des enjeux et la méconnaissance des règles constituent dans de nombreux cas une faiblesse exploitée par les cyber-agresseurs.

Le troisième niveau de protection provient des composants techniques du système d’information : logiciels, réseaux, serveurs et plateformes d’hébergement.

A minima, le système d’information de l’entreprise doit être protégé par une ceinture d’antivirus, pour enrayer les intrusions malveillantes, ainsi qu’une ceinture de pare-feu, pour empêcher l’accès à des programmes douteux.     

Le chiffrement des données les plus sensibles ajoute à la protection passive. Leur stockage dans le Cloud renforce également le niveau de sécurité. Sous réserve bien sûr du sérieux des dispositions prises par l’hébergeur. Des certifications comme ISO 27001, ISO 9001 ou encore ISAE 3402 en type II sont de nature à garantir que les protections sont fortes et régulièrement éprouvées.

S’appuyer sur des logiciels protecteurs

Au sein du dispositif global de protection, la sécurité inhérente aux logiciels de gestion est évidemment centrale. La responsabilité des éditeurs est de sécuriser le développement de leurs applications. C’est ce que l’on appelle les revues de code.

Certains éditeurs prennent la peine de confronter leurs pratiques de management de la sécurité à des auditeurs tiers. Cette transparence, attestée pour les meilleurs par la norme ISO 27001, indique un niveau de protection maximum. Depuis les spécifications du produit jusqu'à la livraison en production, toutes les opérations sont documentées. Cela garantit le respect le plus élevé des bonnes pratiques en matière de sécurité et de traitement de la donnée. 

Cet engagement systémique n’est pas sans conséquence pour la conformité. En effet, chaque accès à la donnée est tracé. Une certification ISO 27001, c’est aussi la garantie que les données personnelles bénéficient de la plus stricte confidentialité.