Retail : comment mener un projet si en toute sécurité

1re étape : identifier un projet sensible 

Est considéré comme sensible tout projet SI touchant à des données à caractère personnel ou non dont la perte d’intégrité aurait un impact sur l’entreprise. Les conséquences d’une faille de sécurité pourraient alors être juridiques, financières, opérationnelles et dans tous les cas préjudiciables pour l’image de marque de la société. 

Pour contrer les cyberattaques de plus en plus fréquentes, notamment par ransomwares, votre prestataire doit mettre en place une démarche de cyber-résilience avec le responsable sécurité dès le lancement du projet. La norme ISO 27001 et les consignes de la CNIL constituent les best practices minimum à respecter en termes de cybersécurité. 

Mais s’il est important d’accorder une importance extrême à la sécurité des données dès la phase de kick-off, il faut aussi disposer d’un interlocuteur dédié à tous les stades d’avancée du projet.  

2e étape : assurer la sécurité des données pendant l’implémentation du projet 

Pendant le développement du projet, les mesures à mettre en place pour sécuriser le système sont définies par le prestataire SaaS :  

• sécurité des mots de passe ; 
• lutte contre les programmes malveillants ; 
• chiffrement des données ;  
• traçabilité des opérations réalisées sur les machines et détection des intrusions ; 
• sauvegarde et restauration des données. 

Chez Generix Group, ces actions de cyberprotection sont réalisées en interne : toutes les informations sont stockées dans le SaaS du groupe, à l’exception des mots de passe. 

Il faut ensuite sécuriser les accès chez le prestataire, ainsi que chez le client. L’entreprise doit être vigilante aux vols de matériel professionnel et faire remonter l’information au prestataire pour qu’il coupe les accès à distance le cas échéant. Quand des collaborateurs quittent la société, être en capacité de supprimer tous les droits sur les dispositifs auxquels ils avaient accès est également essentiel. 

Chez Generix Group, une procédure spécifique permet de connecter un annuaire interne à l’annuaire client. Lorsqu’un salarié quitte l’entreprise, l’annuaire client envoie l’information automatiquement à l’annuaire Generix Group qui supprime directement les droits pour assurer la sécurité des données. À l’inverse, l’arrivée d’un collaborateur dans les services est gérée directement pour être opérationnelle immédiatement. 

3e étape : contrôler la qualité de la mise en production 

Juste avant la mise en production, il convient encore de vérifier que les engagements pris par les équipes projet ont bien été traduits sur le plan opérationnel.  

C’est le cas chez Generix Group, où les équipes projet mettent en œuvre des phases de tests établis sur toutes les applications. Des audits de code et tests d’intrusion sont également réalisés par un hacker éthique en mode lean startup (amélioration continue) peu de temps avant la mise en production. Objectif : éprouver les mesures de sécurité des données implémentées sur le tard.