Les avantages à l’utilisation d’une plateforme de gestion de contenu (ou GED) en entreprise sont nombreux : limiter l’usage du papier, faciliter l’accès à l’information, partager des documents, améliorer la productivité des équipes… La crise sanitaire a accéléré le déploiement de ce type de solution dans les organisations, parfois dans l’urgence.
En parallèle, la cybercriminalité a explosé, ce qui amène les entreprises à s’interroger légitimement sur les risques liés à l’utilisation d’une GED et à la manière de protéger le plus efficacement possible leurs données. En la matière, les éditeurs de GED en mode SaaS ont une véritable responsabilité et plusieurs leviers à activer.
Revue de détail assurée par Christophe Laurence, directeur des opérations chez Open Bee.
L’année 2021 a été émaillée de nombreuses attaques cybercriminelles, inspirées par la période troublée et les failles de sécurité liées à la généralisation du travail à distance. L’an dernier, 80% des attaques relevaient du phishing. Or, le travail hybride va se maintenir, la rentrée 2021 confirme cette tendance. L’enjeu de la sécurité informatique reste prédominant.
Le secteur de la GED est en fort développement. En 2018, le marché français des solutions de GED avait déjà dépassé les 2,4 milliards d’euros grâce à l’adoption croissante du cloud et des plateformes SaaS. Bon nombre d’éditeurs, proposant leurs solutions via des datacenters certifiés ISO 27001 et conformes au Référentiel Général de Sécurité de l’ANSSI, affirment avoir depuis renforcé leur vigilance face au risque sécurité. Comment l’évaluer ?
Assurer la sécurité dans l’usage de la GED
Au-delà des cyberattaques, la sécurité d’une GED doit d’abord et avant tout être assurée au sein du logiciel. Les risques résident d’abord dans son utilisation quotidienne et la capacité de ses utilisateurs à préserver la confidentialité et l’intégrité des données.
Pour répondre à cette exigence, on ne rappellera jamais assez la nécessité d’une double authentification de ses utilisateurs. La saisie d’un identifiant et le mot de passe n’est pas toujours suffisante. Une procédure de double authentification à la plateforme est nécessaire, avec par exemple la saisie complémentaire d’un jeton adressé par mail ou SMS pour finaliser l’authentification.
Ensuite, la plateforme de GED doit offrir une gestion fine et avancée des droits pour chaque action : pour définir et encadrer qui peut consulter, imprimer, éditer, partager,… selon la confidentialité des documents, des données et les profils des utilisateurs. La GED doit également assurer une traçabilité complète et en temps réel de toutes les opérations effectuées. Un principe de journalisation des actions est indispensable pour produire une piste d’audit fiable en cas de problème ou de contrôle.
Sur ces sujets, les éditeurs de solution GED ont à assumer un rôle de pédagogie et de formation auprès de leurs clients afin que les procédures soient suivies scrupuleusement.
La plateforme de GED doit offrir une gestion fine et avancée des droits pour chaque action
Assurer la sécurité vis-à-vis des menaces extérieures
Les choix technologiques qui président au chiffrement des données participent bien sûr à la sécurité d’une plateforme de GED et limitent les risques de cyberattaque. Quand la solution est disponible en Saas, les protocoles de communication entre un navigateur web et un serveur distant doivent être sécurisés à l’aide d’un certificat SSL. Ce dernier active le cadenas et le protocole « HTTPS » qui crypte les données et assure leur confidentialité.
Lors du stockage des documents aussi, les bons choix technologiques doivent être réalisés pour chiffrer les données. À l’heure actuelle, l’algorithme AES-256 bits est le plus utilisé et considéré comme le plus sûr par les gouvernements et les organismes financiers notamment. Pour autant que la clé de chiffrement soit elle-même stockée et encryptée à l’aide du même algorithme… Cette grille est à compléter par des tests d’intrusion, dont la régularité est à évaluer régulièrement, et bien sûr des mises à jour fréquentes contre toute nouvelle faille de sécurité.
Pas de sécurité sans sauvegarde et PRA
En matière de risque informatique, le risque zéro n’existe pas. L’incendie OHV a bien montré en mars 2020 combien le risque matériel peut aussi fragiliser grandement les entreprises : certaines ont perdu momentanément ou définitivement leurs données.
Cette douloureuse expérience a rappelé à la communauté IT la nécessité de bien calibrer les systèmes de sauvegarde qui entourent l’exploitation d’un logiciel ou d’une GED disponible en mode Saas.
Trop d’entreprises font encore l’impasse, souvent pour des considérations financières, sur la qualité de leur dispositif de sauvegarde. Nous préconisons de réaliser toute sauvegarde de données sur deux serveurs distants, l’un affecté à la production, l’autre au Plan de Reprise d’activité (PRA) en cas de panne/redémarrage (on parle aussi de sauvegarde déportée). Ces sauvegardes permettent à l’application de revenir en arrière, au point que l’éditeur et le client ont fixé ensemble pour restaurer les données. Elles doivent être réalisées au moins quotidiennement et les durées de rétention des sauvegardes seront suffisamment importantes pour pallier toute éventualité. Les datacenters doivent être géographiquement installées en France pour garantir la souveraineté des données et la conformité au RGPD.
Trop d’entreprises font encore l’impasse, souvent pour des considérations financières, sur la qualité de leur dispositif de sauvegarde
Nous l’avons indiqué plus haut, la mise en place d’un PRA est indispensable pour garantir aux clients une forte disponibilité (99%) et la redondance des données. C’est la garantie d’une reprise d’activité. En cas d’incident affectant le site principal, la production informatique est basculée et redémarrée depuis le site distant. Le service est interrompu pendant la période. Une fois l’incident clos, l’environnement principal de production est réactivé.
Tout PRA doit être accompagné d’un contrat de “Service Level Agreement”. C’est ici que sont indiqués le temps maximum de prise en compte des incidents garantis par le contrat et le temps maximal de résolution des incidents garanti par SLA. D’un hébergeur à l’autre, les écarts sont souvent importants. L’éditeur doit être à même d’aider son client à définir ce qui est acceptable en termes de pertes de données et en termes de durée d’interruption d’activité pour dimensionner au plus près de ses besoins son PRA.
Ce rôle de conseil, à mener en partenariat avec l’hébergeur, est encore trop souvent minoré ou rapidement évacué dans le sourcing d’une solution IT et sa contractualisation. Une approche qui en dit long sur la culture sécurité des parties prenantes…
« Siloter » l’information pour limiter les conséquences d’une attaque
La nouvelle tendance en matière de protection des données consiste à proposer des architectures où au sein d’une même organisation chaque filiale (d’un groupe) ou services (d’une entreprise) disposerait de sa propre instance cloud de GED, indépendante les unes des autres. Avec la possibilité de communiquer entre chaque instance par le biais de dossiers partagés sécurisés ou bien encore de la complétion de tâches dans un processus de validation.
En cas d’attaque, le risque serait ainsi limité à l’instance « piratée » et non pas à l’intégralité des données de la société ou du groupe. Cette innovation disponible avec la nouvelle version 6.12 de la plateforme Open Bee DXP tend à marquer notre volonté d’apporter davantage de solutions répondants aux enjeux majeurs des entreprises en matière de préservation des données ou du capital numérique de ces dernières.