Télécharger
Partager
Marc Walzer
Délégué à la protection des données chez Sherpany

Conformité et sécurité : qu’en est il de votre portail de conseil d’administration ?

Pourquoi utiliser un portail de conseil d’administration est-il important ?

Selon une étude de Russell Reynolds1, 88 % des conseils d’administrations dématérialisés sont situés aux États-Unis. En Europe, la transformation digitale des conseils d'administration reste a la traine. Pourtant, la mise en place d’un portail digital s'est avérée être bien plus qu'une simple solution pratique pour des réunions plus efficaces et de meilleure qualité. Il s'agit également d'une mesure cruciale pour assurer l'intégrité et la fiabilité des données dans un environnement hautement sécurisé.

Comment choisir un portail à la fois conforme et sécurisé ?

En suivant ces 5 critères, vous serez en mesure d'opter pour un fournisseur sûr et conforme:

  1. Assurer la conformité aux législations applicables 

    Bien que la conformité ne soit généralement pas le premier sujet qui vient à l'esprit lorsqu'on parle de sécurité, c'est très certainement un aspect très important de la sécurité. Dans le cas de l'externalisation d’une activité, les exigences réglementaires connexes sont aussi à respecter. Il se peut même que des responsabilités supplémentaires apparaissent. Ainsi, lors du processus d'évaluation d'un fournisseur de portail, le respect des lois applicables ne doit pas seulement être considéré dans le contexte de votre entreprise, mais aussi dans le contexte du fournisseur évalué. 

    Selon votre situation et celle de votre fournisseur (p. ex. lieu d'activité, nationalité, secteur), la conformité peut devenir un défi. Voici un exemple de deux réglementations qui - dans certaines situations - peuvent faire courir un grand risque aux entreprises concernées :

    Le RGPD (Règlement général sur la protection des données) est une loi européenne qui se compose d'un ensemble de règlements régissant la vie privée et la sécurité des données personnelles. Cette législation vise à accroître le niveau de protection des données à caractère personnel des citoyens de l'UE.

    Le CLOUD Act est un règlement américain qui permet aux autorités américaines d'avoir accès aux données des fournisseurs américains de services Cloud, y compris les données stockées à l'étranger par leurs filiales.

    Si votre fournisseur et vous êtes soumis aux deux législations, vous pouvez vous retrouver dans une situation où vous allez enfreindre soit le RGPD soit le CLOUD Act. C'est un risque réel quand on prend en compte le montant des amendes possibles.

    Il est donc important de tenir compte de la nationalité du fournisseur et de l'emplacement de l'hébergement lors du choix d'un fournisseur de portail de conseil d'administration, car cela a une implication quant à la réglementation applicable.
     
  2. Évaluer la sécurité du data center

    Il est important de comprendre que la sécurité de vos données n'est pas seulement affectée par les mesures prises dans le cyberespace, mais aussi par l'environnement physique dans lequel les données sont hébergées. Par conséquent, le choix du centre de données est essentiel lorsqu'un haut niveau de sécurité est requis. Les trois critères principaux devraient être :


    Capacité de continuité des opérations :
      • 
    Les menaces environnementales (inondation, tremblement de terre, etc.) sont-elles prises en compte ?
      • Des redondances sont-elles en place pour les composants critiques (électricité, FAI, sites entiers) ?

    Contrôle d'accès physique :
      • L'accès physique est-il limité selon le principe du "besoin d'en connaître" ?
      • L'accès physique est-il contrôlé et surveillé ?
      • L'authentification et l'autorisation sont-elles mises en œuvre par le biais de processus formels ?

    Assurance de la sécurité de l'information :
      • Le datacenter est-il certifié selon les meilleures pratiques (ISO, ISAE, SOC) ?
     
  3. Évaluer la cyber-résilience

    La cyber-résilience est souvent l'objectif principal de toute évaluation de la sécurité. Ceci pour une raison simple : la réalisation d'une cyberattaque ne nécessitant pas d'accès physique à un système, le nombre d'acteurs potentiels de la menace est donc nettement plus élevé. Une évaluation de la cyber-résilience devrait inclure au moins :

    Chiffrement :
      • Les données stockées sont-elles cryptées à tout moment ?
      • Les données transférées sont-elles toujours cryptées ?
      • Est-ce que des méthodes de chiffrement fort sont utilisées ?

    Sécurité du réseau :
      • Est-ce qu’une solution de prévention des intrusions à la pointe de la technologie est utilisée ?
      • Est-ce qu’une solution de détection d'intrusion à la pointe de la technologie est utilisée ?
      • Les systèmes sont-ils configurés de manière sûre (endurcis) ?
      • Existe-t-il un processus formel de La gestion des patches ?

    Enregistrement et contrôle des données :
      • Existe-t-il une piste de vérification documentée ?
      • Les logs (journaux) sont-ils analysés et contrôlés ?
      • Le risque que les administrateurs manipulent les logs est-il pris en compte ?
      • Les composants primordiaux font-ils l'objet d'une surveillance appropriée ?
     
  4. Analyser les processus d'authentification

    L'authentification est un concept très central de la sécurité. De nos jours, lorsque l’on travaille avec des informations sensibles, une solution doit fournir des méthodes d'authentification forte. La force/sécurité des méthodes d'authentification peut être évaluée à l'aide des critères suivants :

      • Les exigences minimales relatives aux mots de passe sont-elles respectées (longueur, complexité) ?
      • Les mots de passe sont-ils stockés ou transmis en texte clair (non cryptés) ?
      • L'authentification multi-facteurs peut-elle être activée ou renforcée ?

    Remarque : Comme la technologie SMS devient obsolète, le SMS en tant que deuxième facteur d'authentification est maintenant considéré comme non sécurisé. C'est la raison pour laquelle l'industrie financière et ses fournisseurs devraient commencer à l'éviter. Si, dans le contexte d'informations sensibles, une authentification multi-facteurs avec SMS comme deuxième facteur est toujours préférable à l'utilisation d'un simple mot de passe, des alternatives plus sûres, comme par exemple la solution SoundProof devraient être envisagées.
     
  5. Vérifier les certifications

    Ryan Ettridge, Associé PwC Digital Trust and Risk Assurance, explique : "La certification est un moyen solide de montrer que vous avez investi et que vous continuez à investir pour maintenir un niveau de sécurité approprié en fonction des risques reconnus."2  

    Un fournisseur qui prétend offrir une solution sécurisée doit pouvoir appuyer son son affirmation d’une assurance indépendante. Si une entreprise veut vérifier la qualité de son cadre de sécurité, il y a des bonnes et des mauvaises solutions. Ci-après deux garanties de meilleures pratiques qui représentent une excellente gestion de la sécurité de l'information et qui sont largement répandues :

      • La norme ISO 27001 démontre qu'une entreprise respecte les normes de sécurité les plus élevées et fournit une vérification indépendante et experte que la sécurité de l'information est gérée conformément aux meilleures pratiques internationales. La certification ISO 27001 doit aller au-delà des data center et inclure également le développement, la maintenance et l'exploitation de la plate-forme du fournisseur.

      • ISAE 3000 est une norme d'assurance pour les audits de conformité, de durabilité et d'externalisation. Les organismes de service rendent compte de la manière dont ils traitent la sécurité, la confidentialité ou la fraude dans un rapport ISAE 3000 contenant des informations sur les processus et contrôles internes. Le rapport ISAE 3000 est audité par des cabinets d'audit professionnels afin de fournir l'assurance que les contrôles inclus sont réellement en place et fonctionnent efficacement.

    Le fournisseur d'un portail sécurisé devrait également effectuer régulièrement des tests de pénétration. Un test d'intrusion est un audit technique de sécurité où des spécialistes de la sécurité tentent de trouver des vulnérabilités au sein du logiciel lui-même. Ces audits doivent être effectués au moins une fois par an et les fournisseurs (des tests d'intrusion) doivent aussi faire l'objet d'une rotation régulière. Dans un souci de transparence, il est de la meilleure pratique de divulguer les résultats des Pentests aux clients ou prospects.


Si vous trouvez ces critères d'une grande importance et souhaitez vérifier la conformité et la sécurité de votre portail, nous vous invitons à partager cette check-list en interne avec vos collègues.


1. Russell Reynolds, Digital Economy, Analog Boards: The 2013 Study of Digital Directors,2014.
2. PwC, ISO 27001 – Why is it important?, Auditor Training Blog.


 

    Contactez-nous pour plus d'informations

    Marc Walzer
    Délégué à la protection des données chez Sherpany
    Marc Walzer est titulaire d’un MSc en sciences appliquées (HESD) à la recherche sur les systèmes d’information. Chez Sherpany, il est responsable de la sécurité de l’information et s’assure que les données personnelles soient traitées de manière appropriée.

    Marc est aussi l'auteur de Weak TLS Encryption: a wide-spread risk

    Connaissances et Ressources

    facebooktwittergoogle-plus2linkedin2envelopsearch

    Connaissances et Ressources

    Sherpany présente des actualités d'entreprise, des articles d'experts, des entrevues exclusives, des études de cas et des pratiques exemplaires sur la numérisation et la transformation de la culture des réunions du conseil d'administration, des cadres supérieurs, des secrétaires généraux et des conseils généraux.

    Voici quelques exemples de ressources d'information :

    • Portails web et logiciels de gestion de réunion
    • Numérisation et réunions virtuelles
    • Gestion et conformité
    • Leadership efficace

    Contactez-nous

    Nous sommes heureux de vous fournir plus d'informations sur la conformité et la sécurité du portail de conseil d'administration de Sherpany. Remplissez simplement ce formulaire et nous vous contacterons dans les plus brefs délais.

    *Champs obligatoire.

    La newsletter non è al momento disponibile in italiano, La preghiamo di iscriversi ad una delle seguenti lingue: