board-meetings
/
Transformation d'entreprise

Conformité et sécurité : qu’en est-il de votre portail du conseil d’administration ?

Vérifiez en 5 critères que votre portail du conseil d’administration est sécurisé et que vous ne prenez aucun risque en termes de conformité.

Mathias Brenner, CTO Sherpany
Mathias Brenner
Business woman using meeting management software to check meeting calendar

Pourquoi est'il important d'utiliser un portail du conseil d'administration ?

Selon des études de Russell Reynolds, 88 % des conseils les plus digitalisés sont situés aux États-Unis .1 En Europe, les conseils d'administration ont pris beaucoup de retard dans l'acquisition de compétences numériques. Pourtant, la mise en place d'un conseil du portail d'administration s'est révélée être plus qu'une simple solution pratique et permet des réunions plus efficaces et de meilleure qualité. Il s'agit également d'une mesure cruciale pour garantir l'intégrité et la sécurité des données sensibles du conseil.

 

Comment choisir un portail du conseil qui soit à la fois conforme et sécurisé ?

En suivant ces 5 critères, vous serez en mesure d'opter pour un fournisseur sûr et conforme :

1. Assurer la conformité avec les législations applicables 

Si la conformité n'est généralement pas le premier sujet qui vient à l'esprit lorsqu'on parle de sécurité, il s'agit pourtant d'un aspect très important de la sécurité. L'externalisation d'un secteur d'activité n'élimine pas les exigences réglementaires associées. Dans la plupart des cas, elle ajoute même des responsabilités supplémentaires. Ainsi, lors du processus de sélection d'un fournisseur pour votre portail du conseil, la conformité aux lois applicables doit être considérée non seulement dans le contexte de votre entreprise, mais aussi dans le contexte du fournisseur évalué. 

En fonction de votre situation (par exemple, localisation, secteur d'activité) et de celle de votre fournisseur, la conformité peut représenter un défi. Voici un exemple de deux réglementations qui - dans certaines situations - peuvent faire courir un grand risque aux entreprises concernées :

Le RGPD (Règlement général sur la protection des données) est une loi européenne qui consiste en un ensemble de règlements régissant la confidentialité et la sécurité des données personnelles. Cette législation vise à augmenter le niveau de protection des données personnelles des citoyens de l'UE.


Le Cloud Act, quant à lui, est une réglementation américaine qui permet aux autorités américaines d'avoir accès aux données des fournisseurs de Cloud basés aux États-Unis, y compris les données stockées à l'étranger par leurs filiales.

Si votre fournisseur et vous-même êtes soumis aux deux lois, vous pouvez vous retrouver dans la situation où vous devez choisir entre la violation du RGPD ou du Cloud Act. Cela entraîne un grand risque et des sanctions financières massives.

Il est donc important de tenir compte de la localisation et du lieu d'hébergement d'un fournisseur lors de votre choix, car cela a une incidence sur les réglementations applicables.

2. Évaluer la sécurité du centre de données


La sécurité de vos données sensibles ne dépend pas seulement des mesures prises dans le cyberespace, mais aussi de l'environnement physique dans lequel elles sont hébergées. Par conséquent, le choix du centre de données est essentiel lorsqu'on exige un niveau de sécurité élevé. Voici les trois principaux critères à prendre en compte :

Capacité de continuité des activités :
  • Les menaces environnementales sont-elles prises en compte (inondation, tremblement de terre, etc.) ?
  • Des redondances pour les composants critiques sont-elles en place (électricité, FAI, sites entiers) ?
Contrôle d'accès physique :
  • L'accès physique est-il limité selon le principe du "besoin de savoir" ?
  • L'accès physique est-il contrôlé et surveillé ?
  • L'authentification et l'autorisation sont-elles mises en œuvre par des processus formels ?
Assurance de la sécurité de l'information :
  • Le centre de données est-il certifié selon les normes des meilleures pratiques (ISO, ISAE, SOC) ?

S'abonner à la newsletter

Recevez nos derniers articles, interviews et mises à jour produit.

3. Évaluer la cyber-résilience

La cyber-résilience est souvent le point central de toute évaluation de la sécurité. Cela est dû à une raison simple : pour réaliser une cyberattaque, il n'est pas nécessaire d'avoir un accès physique à un système, et le nombre d'acteurs potentiels de la menace est donc nettement plus élevé. Une évaluation de la cyber-résilience doit comprendre au moins les éléments suivants :

Chiffrement :
  • Les données stockées sont-elles cryptées à tout moment ?
  • Les données transférées sont-elles toujours cryptées ?
  • Est-ce que des méthodes de chiffrement fort sont utilisées ?
Sécurité du réseau :
  • Est-ce qu’une solution de prévention des intrusions à la pointe de la technologie est utilisée ?
  • Est-ce qu’une solution de détection d'intrusion à la pointe de la technologie est utilisée ?
  • Les systèmes sont-ils configurés de manière sûre (endurcis) ?
  • Existe-t-il un processus formel de gestion des patches ?
Enregistrement et contrôle des données :
  • Existe-t-il une piste de vérification documentée ?
  • Les logs (journaux) sont-ils analysés et contrôlés ?
  • Le risque que les administrateurs manipulent les logs est-il pris en compte ?
  • Les composants primordiaux font-ils l'objet d'une surveillance appropriée ?

 
4. Analyser les processus d'authentification

L'authentification est un concept central de la sécurité. De nos jours, lorsque l’on travaille avec des informations sensibles, une solution doit fournir des méthodes d'authentification forte. La force/sécurité des méthodes d'authentification peut être évaluée à l'aide des critères suivants :

  • Les exigences minimales relatives aux mots de passe sont-elles respectées (longueur, complexité) ?
  • Les mots de passe sont-ils stockés ou transmis en texte clair (non cryptés) ?
  • L'authentification multi-facteurs peut-elle être activée ou renforcée ?

Remarque : comme la technologie SMS devient obsolète, le SMS en tant que deuxième facteur d'authentification est maintenant considéré comme non sécurisé. C'est la raison pour laquelle l'industrie financière et ses fournisseurs devraient commencer à l'éviter. Si, dans le contexte d'informations sensibles, une authentification multi-facteurs avec SMS comme deuxième facteur est toujours préférable à l'utilisation d'un simple mot de passe, des alternatives plus sûres, comme par exemple la solution SoundProof, devraient être envisagées.


5. Vérifier les certifications 

Ryan Ettridge, Associé PwC Digital Trust and Risk Assurance, explique : "La certification est un moyen solide de montrer que vous avez investi et que vous continuez à investir pour maintenir un niveau de sécurité approprié en fonction des risques reconnus."2  

Un fournisseur qui prétend offrir une solution sécurisée doit pouvoir appuyer son son affirmation d’une assurance indépendante. Si une entreprise veut vérifier la qualité de son cadre de sécurité, il y a des bonnes et des mauvaises solutions. Ci-après deux garanties de meilleures pratiques qui représentent une excellente gestion de la sécurité de l'information et qui sont largement répandues :

  • La norme ISO 27001 démontre qu'une entreprise respecte les normes de sécurité les plus élevées et fournit une vérification indépendante et experte que la sécurité de l'information est gérée conformément aux meilleures pratiques internationales. La certification ISO 27001 doit aller au-delà des data center et inclure également le développement, la maintenance et l'exploitation de la plate-forme du fournisseur.
  • ISAE 3000 est une norme d'assurance pour les audits de conformité, de durabilité et d'externalisation. Les organismes de service rendent compte de la manière dont ils traitent la sécurité, la confidentialité ou la fraude dans un rapport ISAE 3000 contenant des informations sur les processus et contrôles internes. Le rapport ISAE 3000 est audité par des cabinets d'audit professionnels afin de fournir l'assurance que les contrôles inclus sont réellement en place et fonctionnent efficacement.


Le fournisseur d'un portail sécurisé devrait également effectuer régulièrement des tests de pénétration. Un test d'intrusion est un audit technique de sécurité où des spécialistes de la sécurité tentent de trouver des vulnérabilités au sein du logiciel lui-même. Ces audits doivent être effectués au moins une fois par an et les fournisseurs (des tests d'intrusion) doivent aussi faire l'objet d'une rotation régulière. Dans un souci de transparence, il est de la meilleure pratique de divulguer les résultats des Pentests aux clients ou prospects.

 

Si vous trouvez ces critères d'une grande importance et souhaitez vérifier la conformité et la sécurité de votre portail, nous vous invitons à partager cette check-list en interne avec vos collègues.

Nous nous ferons un plaisir de vous fournir de plus amples informations.

1 Russell Reynolds, Digital Economy, Analog Boards: The 2013 Study of Digital Directors, 2014.

2 PwC, ISO 27001 – Why is it important?, Auditor Training Blog.


Mathias Brenner, CTO Sherpany
Mathias Brenner
A propos de l'auteur
Mathias est titulaire d'un EMBA en Transformation Numérique et a une formation académique en Sciences Appliquées en Management et Services IT.