7 bonnes pratiques pour automatiser la conformité et la sécurité

Cropped Favicon Economi Matin.jpg
Par Malo Jennequin Publié le 2 octobre 2022 à 18h09
Entreprise Piratage Sauvegarde Donnees
20 millions d'eurosLes entreprises ne respectant par le RGPD s'exposent à une amende de 4% du chiffre d'affaires annuel ou 20 millions d'euros.

Alors que le lot quotidien des entreprises est de chercher des sources de revenus et de nouveaux clients, la conformité et la sécurité, bien qu’indispensables à la bonne marche de l’entreprise et à sa réputation, sont souvent le parent pauvre des stratégies d’entreprise.

Et pourtant, les défis sont nombreux dans ces domaines, pour les entreprises, devant composer avec des attaques informatiques de plus en plus denses et fréquentes (50.000 nouveaux virus par jour), des environnements complexes (cloud, hybrides), des structures multi-tiers, le travail hybride et une réglementation en constante évolution.

La sécurité et la conformité sont liées. La confiance et la réputation ont le même point commun : si elles sont affectées une fois, il est très difficile de les regagner ensuite.

Selon une étude datant de 2021, le coût moyen d’une violation de données était de 4,24 millions de dollars l’année dernière, comprenant des coûts juridiques, réglementaires, technologiques, liés à l’atteinte à l’image de marque, la perte de clients et de productivité pour l’entreprise.

Concernant la conformité, les entreprises ne respectant par le RGPD s’exposent à une amende de 4% du chiffre d’affaires annuel ou 20 millions d’euros. Il est donc important d’agir.

Voici 7 bonnes pratiques que nous recommandons :

- Mettre en place les bons garde-fous

Alors que les logiciels de sécurité aident à se protéger contre les erreurs humaines, il faut aussi automatiser autant que possible l’apprentissage de ses erreurs courantes pour ne pas les reproduire. Un système de gestion de l’information moderne permet d’automatiser l’interaction des équipes avec les documents : le stockage, l’accès, le partage et la gestion.

- Automatiser l’accès et la gestion des droits des utilisateurs

Des autorisations basées sur des métadonnées aident à automatiser le contrôle des accès – droits de lecture, édition, suppression, modification. Les autorisations sont différentes selon le contexte du document et le rôle de l’employé, et changent avec les évolutions de ces deux paramètres.

- Sécuriser la collaboration avec l’externe

La collaboration avec des clients, des partenaires, des fournisseurs, et des actionnaires, externes à l’entreprise, expose à des risques de sécurité et de conformité. Les accès non autorisés sont la bête noire des entreprises car 4 attaques sur 10 proviennent de cette ouverture vers l’extérieur et non de l’entreprise elle-même.

Mettre en place un système de gestion de l’information moderne permet de créer un moyen sécurisé et intégré de partager l’information et de collaborer avec des interlocuteurs externes. La visibilité et le contrôle des contacts externes est possible via des portails clients intégrés, des extranets, qui évitent de dupliquer l’information.

- Garantir la justesse de l’information

L’intégrité des données garantit que l’information est enregistrée comme il se doit, par la bonne personne, dans sa dernière version, et qu’elle n’existe qu’en un seul exemplaire, accessible par les personnes autorisées quand elles en ont besoin.

- Mettre en place des workflows

L’automatisation des processus soutient l’entreprise dans sa bonne gestion de l’information, pour transmettre les documents à la bonne personne et faciliter la création, l’édition, la relecture et la validation des documents officiels. Il est également possible de mettre en place un archivage permanent et la suppression des données selon certaines règles définies.

- Utiliser des outils efficaces et faciles à utiliser pour améliorer la visibilité

Pour éviter tout risque de shadow IT (informatique cachée : des logiciels installés par les utilisateurs sans autorisation de la DSI), les entreprises doivent s’outiller avec des solutions faciles à appréhender. De même, toute information doit être facilement accessible par les utilisateurs à tout moment pour éviter le risque de duplication et d’archives non officielles.

Le système de gestion de l’information doit être utilisé pour connecter de façon sécurisée toutes les données où qu’elles soient, dans des applications métiers, des référentiels, etc. et pour les partager avec les clients et partenaires. C’est ainsi que la visibilité sera conforme au besoin de sécurité.

- Contextualiser l'information pour mieux la contrôler

Pour garantir la mise en conformité avec le RGPD, il est possible de s'équiper de solutions de gestion documentaire et informationnelle. Leur fonctionnalité de gestion des droits d'accès, d'autant plus si elle est basée sur les métadonnées, autorise une politique ni trop laxiste ni trop rigide. Cette justesse dans la mise en œuvre est l'un des secrets de la bonne compréhension et de la bonne adoption d'une telle politique.

Par ailleurs, il est recommandé de mettre en relation des documents et objets métiers (Projet, Produit, Client, Fournisseur, Site, Collaborateur, etc.) afin de contextualiser l'information, pour mieux la contrôler.

La sécurité de l’information repose sur trois piliers que sont la confidentialité, l’intégrité, et la disponibilité, garanties par une bonne gestion des droits d’accès. La conformité a besoin de visibilité et de contrôle, de suppression des erreurs humaines, et d’une couche de sécurité.

La plupart des entreprises utilisent au moins 3 systèmes de stockage différents pour leurs documents et plus de 20% d’entre elles en utilisent au moins 5. C’est pourquoi il est important d’avoir une visibilité et un contrôle à 360° de la gestion documentaire. Un système de gestion de l’information moderne fournit une couche de sécurité supplémentaire lorsqu’il utilise les métadonnées pour gouverner les données où qu’elles soient stockées. Il permet de baser la sécurité sur des rôles, des étapes de workflow, et d’autres éléments autres que la localisation des données. Ainsi, la gestion des droits est plus souple, ouverte à l’externe et évolutive en fonction des changements dans l’entreprise et les données peuvent être restituées dans une version antérieure en cas de cyberattaque les compromettant.

Cropped Favicon Economi Matin.jpg

Malo Jennequin est directeur Avant-Vente et Solutions chez M-Files.

Laisser un commentaire

* Champs requis