La protection des données des clients : un impératif
La multiplication des attaques informatiques oblige les entreprises à appliquer différentes méthodes afin de renforcer la sécurité de leurs fichiers sensibles.
L’époque où des étudiants en informatique créaient un virus qu’ils diffusaient ensuite sur le web est révolue ! Des cybercriminels très organisés leur ont succédé. Leur objectif est clair : gagner de l’argent en infectant les réseaux des entreprises afin de dérober ou rendre inexploitables certaines informations. Ces piratages ont d’autant plus d’impacts que les données sont au cœur de l’activité économique de toute organisation, notamment avec la dématérialisation des documents.
Face à ces menaces, les entreprises doivent mettre en place une politique de sécurité globale. Le concept de « forteresse », reposant principalement sur un antivirus et un pare-feu qui surveillent un périmètre limité et parfaitement identifié, n’est plus adapté à la problématique actuelle. Le monde est devenu hyper connecté !
Les PME doivent alors relever un double défi : être à la fois agiles et innovantes pour réussir leur transformation numérique, et, en même temps, être sécurisées pour pérenniser leur activité économique et rassurer leurs clients et partenaires.
Les atouts du Cloud
Ce challenge concerne particulièrement les cabinets d’expertise-comptable qui manipulent des informations confidentielles, notamment à caractère personnel. Pour échanger des données EDI avec leurs clients, ils utilisent des logiciels installés sur leurs postes de travail, et sont de plus en plus nombreux à migrer une partie de leur parc informatique dans le Cloud. Ils profitent ainsi des avantages des applications en mode SaaS.
Le « Software as a Service » -par exemple un logiciel de facturation accessible en ligne depuis n’importe quel appareil, fixe et mobile- permet de bénéficier d’outils ergonomiques et mis à jour automatiquement afin d’intégrer les derniers correctifs de sécurité ou des changements de dates réglementaires.
En hébergeant leurs fichiers sur des serveurs gérés par des prestataires mandatés par les éditeurs de logiciel, les cabinets d’experts-comptables délèguent une partie de la sécurité des données -et leurs sauvegardes- à des équipes spécialisées.
Il ne faut cependant pas oublier que les applications dans le Cloud et l’hébergement des données reposent sur un modèle de responsabilité partagée. D’un côté, le fournisseur du programme en ligne est responsable de la sécurité de son data center et de la qualité de son service. Il doit assurer la confidentialité, l’intégrité et la disponibilité des informations -en particulier leur redondance- que lui délègue son client. Ce dernier doit alors vérifier que ses propres serveurs ne soient pas impactés par un code malveillant ou une intrusion en faisant appel à des sociétés spécialisées pour réaliser différents audits de sécurité, conformes aux normes en vigueur. De l’autre, l’entreprise est responsable de la confidentialité de ses données.
La confidentialité des données
L’entreprise doit contrôler les accès à ses applications dans le Cloud et surveiller étroitement les flux avec son réseau informatique. Rendu public dans sa première version en 2010 par le Premier ministre, le Référentiel général de sécurité (RGS) rappelle qu’une politique de sécurité cohérente repose sur quelques piliers indispensables.
Il y a tout d’abord la confidentialité des données stockées en interne ou partagées via Internet. Leur divulgation peut avoir un impact négatif sur la pérennité du cabinet d’experts-comptables ou celle de ses clients. Cette confidentialité implique le recours systématique à des solutions de cryptage (SSL 128). Les portails déclaratifs et d’échanges doivent disposer de ce processus, comme le portail d’échanges cabinets-clients Sage LinkUp Experts. Mais il doit être aussi déployé par les experts-comptables afin que leurs échanges ne puissent être interceptés.
Toujours à propos du secret des données, les entreprises doivent adopter des mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données nécessaires au regard de leurs besoins soient traitées. Cela est appelé le « Privacy by Design ». Il est également recommandé de faire appel à des hébergeurs domiciliés en France et en Europe, car ils ne sont pas soumis aux mêmes lois que leurs concurrents américains (cf. Patriot Act).
L’intégrité des données stockées et partagées en interne ou dans le Cloud est aussi un pilier fondamental. Son respect certifie que les documents et services fournis sont conformes aux exigences des clients ou à la réglementation.
À propos d’exigences, le secret professionnel doit être respecté dans son intégralité. De nombreux experts-comptables limitent ainsi volontairement les échanges de données « critiques ». Quels que soient les besoins techniques exprimés par le cabinet d’expertise-comptable ou l’éditeur, les informations traitées par un logiciel doivent rester inaccessibles à toute personne n’exerçant pas dans ce dit cabinet. Les recommandations du Conseil supérieur de l’Ordre des experts-comptables destinées aux éditeurs précisent notamment que ces derniers doivent «s’interdire la consultation ou l’exploitation directe ou indirecte des données des clients du cabinet dans un strict respect du secret professionnel»1.
(1) Ordre des experts-comptables, « Conformité cloud, Hébergeurs 2016 »
Formation et réglementation
Par ailleurs, la sécurité informatique ne doit plus être considérée comme une affaire de produits. C’est un process et elle n’est pas innée. D’où la nécessité de sensibiliser tous les collaborateurs des cabinets d’experts-comptables, mais aussi des TPE afin qu’ils appliquent les bonnes pratiques.
De trop nombreuses erreurs basiques sont commises. Celles-ci peuvent prendre deux formes. Premièrement la fuite intentionnelle sous forme de partage d’informations confidentielles, vol de documents d’entreprises, d’ordinateurs portables, de téléphones ou de périphériques de stockage (disques durs et de clés USB, etc.) Deuxièmement ; la négligence de la part des collaborateurs qui naviguent sur des sites non sécurisés ou laissent leur session ouverte.
Des campagnes de sensibilisation doivent être mises en place, car la législation va devenir de plus en plus complexe et contraignante. Applicable à compter de 2018, le nouveau Règlement européen sur la protection des données personnelles européen (RGPD) n° 2016/679 du 27 avril 2016 vise à responsabiliser les acteurs des traitements de données en uniformisant les obligations pesant sur les responsables et leurs sous-traitants. Ces derniers peuvent faire l’objet de sanctions administratives importantes en cas de méconnaissance des dispositions du règlement. Lorsqu’il constate une violation d’informations à caractère personnel, le responsable de traitement doit, par exemple, la notifier à la CNIL dans les 72 heures. Passé ce délai, l’amende peut s’élever, selon la catégorie de l’infraction, de 2 % jusqu’à 4 % du chiffre d’affaires annuel mondial de l’entreprise.
Article réalisé en collaboration avec la Compagnie des Conseils et Experts Financiers (CCEF).