Skip to main content
sécurité des données prestataire projet SI
on 16 Oct 2018 9:06 AM

Retailers, l’heure est grave. Que vous soyez distributeur ou gérant e-commerce, les importantes quantités de données exploitées peuvent mettre votre activité en danger. Pourquoi ? Car ces volumes représentent autant d’opportunités, pour des personnes malintentionnées, de s’engouffrer dans d’éventuelles failles. Les meilleures pratiques consistent à intégrer la sécurité des données dès le début des projets, en appliquant une démarche de « Security by design ». Votre principale assurance : travailler avec un prestataire de confiance, dont l’expertise en termes de sécurité des données est reconnue. Pour faire le bon choix, voici un récapitulatif des étapes auquel un bon interlocuteur SI doit se soumettre.   

 

1re étape : identifier un projet sensible 

Est considéré comme sensible tout projet SI touchant à des données à caractère personnel ou non dont la perte d’intégrité aurait un impact sur l’entreprise. Les conséquences d’une faille de sécurité pourraient alors être juridiques, financières, opérationnelles et dans tous les cas préjudiciables pour l’image de marque de la société. 

Pour contrer les cyberattaques de plus en plus fréquentes, notamment par ransomwares, votre prestataire doit mettre en place une démarche de cyber-résilience avec le responsable sécurité dès le lancement du projet. La norme ISO 27001 et les consignes de la CNIL constituent les best practices minimum à respecter en termes de cybersécurité

Mais s’il est important d’accorder une importance extrême à la sécurité des données dès la phase de kick-off, il faut aussi disposer d’un interlocuteur dédié à tous les stades d’avancée du projet.  

 

2e étape : assurer la sécurité des données pendant l’implémentation du projet 

Pendant le développement du projet, les mesures à mettre en place pour sécuriser le système sont définies par le prestataire SaaS :  

Chez Generix Group, ces actions de cyberprotection sont réalisées en interne : toutes les informations sont stockées dans le SaaS du groupe, à l’exception des mots de passe. 

Il faut ensuite sécuriser les accès chez le prestataire, ainsi que chez le client. L’entreprise doit être vigilante aux vols de matériel professionnel et faire remonter l’information au prestataire pour qu’il coupe les accès à distance le cas échéant. Quand des collaborateurs quittent la société, être en capacité de supprimer tous les droits sur les dispositifs auxquels ils avaient accès est également essentiel. 

Chez Generix Group, une procédure spécifique permet de connecter un annuaire interne à l’annuaire client. Lorsqu’un salarié quitte l’entreprise, l’annuaire client envoie l’information automatiquement à l’annuaire Generix Group qui supprime directement les droits pour assurer la sécurité des données. À l’inverse, l’arrivée d’un collaborateur dans les services est gérée directement pour être opérationnelle immédiatement. 

 

3e étape : contrôler la qualité de la mise en production 

Juste avant la mise en production, il convient encore de vérifier que les engagements pris par les équipes projet ont bien été traduits sur le plan opérationnel.  

C’est le cas chez Generix Group, où les équipes projet mettent en œuvre des phases de tests établis sur toutes les applications. Des audits de code et tests d’intrusion sont également réalisés par un hacker éthique en mode lean startup (amélioration continue) peu de temps avant la mise en production. Objectif : éprouver les mesures de sécurité des données implémentées sur le tard. 

 

Pour garantir la sécurité des données lors de l’implémentation d’un SI, rigueur et systématisation des process sont de mise. D’où l’importance capitale du choix d’un bon prestataire SaaS. Et ce, d’autant plus que la sécurité des données devient un enjeu réglementaire, avec notamment le RGPD. Pour en savoir plus sur vos obligations en matière de sécurité des données personnelles, découvrez les 7 actions à mettre en œuvre pour être RGPD-friendly dans notre livre blanc dédié.  

 

Télécharger le livre blanc Generix Group

Philippe SEGUIN

Directeur pôle industriel groupe