Input For You

Menu
Actualités

Comment Input for You traite-t-il les données confidentielles ?

isabelle gilles No Comments
  1. Accueil|
  2. Actualités|
  3. Comment Input for You gère-t-il ...

Lorsque les entreprises confient leurs documents et leurs données à Input for You, elles confient également leurs informations les plus sensibles : données clients, données financières, dossiers médicaux, documents RH, contrats, etc. La question logique est de savoir comment garantir la sécurité et la confidentialité de ces données.

Nous avons posé cette question à Pierre De Landsheere, responsable de la sécurité externe chez Input for You. Pierre conseille l'entreprise en matière de sécurité de l'information, de protection de la vie privée et de certification depuis plus de dix ans.

Input for You : “Pierre, pour commencer, quelle est votre opinion générale sur la façon dont Input for You traite les données confidentielles ?”

Pierre De Landsheere: “D'une manière générale, deux aspects doivent toujours aller de pair : la politique et la pratique.

La politique consiste à dire ce que l'on va faire. La pratique consiste à faire ce que l'on a dit que l'on ferait. Vous ne pouvez pas offrir une sécurité des informations ou une confidentialité sérieuse si l'une des deux n'existe pas ou si elles ne sont pas alignées.

Chez Input for You, nous nous organisons autour de la norme ISO 27001 relative à la sécurité de l'information. Cela signifie que nous avons mis en place un système de gestion de la sécurité de l'information (SGSI). Ce système protège tous les aspects importants, tels que la sécurité de l'information, la conformité, la vie privée, la sécurité des données et la gestion des risques.

Une fois par an, un auditeur externe accrédité vérifie si notre politique répond à toutes les exigences de la norme ISO. Il s'agit d'un contrôle indépendant de l'ensemble de notre cadre politique. C'est alors que commence la partie la plus importante : s'assurer que ce qui est sur le papier est également mis en pratique chaque jour.

Une contribution pour vous : “Comment cette politique se traduit-elle concrètement dans nos activités quotidiennes et dans la manière dont nous traitons les données de nos clients ?'

Pierre De Landsheere: “Il y a plusieurs couches en jeu : l'organisation, la technologie et les principes.

Un principe important est le travail basé sur les risques. Nous identifions les risques et prenons des mesures pour les réduire autant que possible. Il peut s'agir de mesures techniques, de processus, mais aussi de choix d'infrastructures.

Par exemple, nous limitons consciemment la partie de nos opérations qui est visible sur l'internet public. Plus la surface d'attaque est réduite, moins il y a de chances que quelqu'un s'introduise là où il n'a pas sa place.

Un autre principe est le maintien du contrôle. Input for You achète son propre matériel, utilise son propre équipement et gère tout lui-même dans la mesure du possible. Nous gérons le stockage, le traitement et la transmission des données des clients en interne, dans la mesure du possible. Cela nous permet d'exercer un contrôle maximal sur ce qu'il advient de ces données.

Enfin, nous sommes très attachés à l'automatisation et à l'intégration des systèmes. Moins il y a d'interventions manuelles, plus le risque d'erreur humaine est faible. Mais encore une fois, tout est basé sur cette approche du risque et intégré dans le système de gestion ISO 27001, de sorte que nous n'avons pas d'angles morts dans nos opérations”.”

Des données pour vous : “Les réglementations relatives aux données et aux TIC sont de plus en plus strictes. Pensez au GDPR et, plus récemment, au DORA dans le secteur financier. Comment y faire face ?”

Pierre De Landsheere: “Le cadre ISO met explicitement l'accent sur les obligations légales et contractuelles. Cela signifie que nous n'examinons pas seulement notre propre entreprise, mais aussi les réglementations qui s'appliquent à nos clients.

Prenons l'exemple de la loi DORA (Digital Operational Resilience Act), un nouveau cadre réglementaire pour le secteur financier, notamment en ce qui concerne les TIC et l'externalisation. Input for You est un partenaire d'externalisation pour de nombreux acteurs de ce secteur. Cela signifie que nous devons les aider à respecter leurs obligations.

Nous développons donc une expertise ciblée sur ces réglementations. Nous suivons ce qui préoccupe nos clients, les exigences imposées par leurs régulateurs et la manière dont nous pouvons fournir de manière proactive des informations et des preuves à cet égard.

En bref, nous ne nous limitons pas à notre propre périmètre ; nous examinons également les obligations de nos clients et la manière dont nous pouvons être un maillon fiable dans ce processus.

Une contribution pour vous : “Nos clients sont souvent de grandes organisations qui comptent de nombreuses parties prenantes. Comment faire en sorte que chacun se sente à l'aise avec la confidentialité et la sécurité à sa manière ?”

Pierre De Landsheere: “C'est exact. Input for You lui-même est relativement petit, mais nos clients sont souvent des acteurs majeurs. Lors d'un appel typique, il y a deux personnes de notre côté et huit à dix personnes du côté du client. Il s'agit de profils issus de l'entreprise, de la gestion de projet, des responsables de la sécurité, de la sécurité de l'information, de la conformité et des achats, qui ont tous leur propre point de vue.

La gestion des parties prenantes constitue donc une part importante de notre travail. C'est presque un art de transmettre la bonne information à la bonne personne au bon moment. Un agent de sécurité ne veut pas voir les mêmes détails qu'un chef de projet ou qu'un responsable des achats.

C'est pourquoi nous travaillons avec une combinaison de.. :

  • Documentation standard décrivant nos politiques et processus en matière de sécurité et de confidentialité de l'information.
  • Réponses spécifiques au projet, adaptées au type de données, à la nature du processus, à la criticité et aux risques.

Et si les clients veulent encore plus de certitude, nous offrons également la transparence sur place. Certains clients veulent voir notre centre de données de leurs propres yeux. Nous enfilons alors nos vêtements de protection, nous marchons ensemble jusqu'à la salle des serveurs et nous leur montrons littéralement où leurs données sont stockées et où elles sont traitées. Ce genre d'ouverture inspire beaucoup de confiance”.”

Une contribution pour vous : “Si un nouveau client, tel qu'une compagnie d'assurance, souhaite commencer à travailler avec nous, quelle est l'approche en termes de données confidentielles et de sécurité ?”

Pierre De Landsheere: “En fait, cela commence souvent avant le lancement du projet. Au cours de la phase d'avant-vente, nous recevons régulièrement des évaluations de sécurité approfondies, en particulier de la part du monde financier. Il s'agit souvent de feuilles de calcul volumineuses contenant des centaines de questions sur la sécurité de l'information, la confidentialité des données, l'infrastructure, les processus, etc.

En outre, il y a des NDA (accords de non-divulgation) et des séries de questions supplémentaires avant même qu'il ne soit question d'un premier projet pilote. C'est normal. Les clients veulent savoir exactement où vont leurs données confidentielles.

Une fois le projet lancé, nous examinons :

  • Quels sont les documents et les données que nous traiterons.
  • Le degré de criticité du processus, par exemple un projet d'archivage de six mois ou des processus avec un accord de niveau de service de quatre heures.
  • Si le traitement est entièrement automatisé ou si des étapes manuelles sont nécessaires.

Sur cette base, nous dimensionnons l'infrastructure, déterminons les mesures et veillons à ce que l'approche corresponde au profil de risque du projet. Nous évitons ainsi les mauvaises surprises en termes de capacité, de sécurité ou de fiabilité”.”

Une entrée pour vous : “Nous travaillons parfois avec des technologies ou des partenaires externes, par exemple pour une automatisation ou des outils spécifiques. Comment assurons-nous la confidentialité des données dans ce cas ?”

Pierre De Landsheere: “C'est un point très important, car nous restons responsables des données que nous traitons, même lorsque nous travaillons avec des tiers.

Nous essayons de faire deux choses :

  1. Nous faisons le plus possible par nous-mêmes. C'est pourquoi nous disposons de notre propre centre de données, de nos propres serveurs et de notre propre infrastructure.
  2. Lorsque nous travaillons avec des parties externes, nous préférons choisir des parties avec lesquelles nous avons un contact direct, et non des nuages publics anonymes où vous disparaissez dans la foule.

Nous voulons éviter de déposer des données “quelque part dans le nuage” sans avoir une vision claire de l'endroit où elles aboutissent physiquement et de ce qu'il en advient exactement.

Nous travaillons avec des tiers sur la base d'accords clairs. Par exemple, si nous utilisons un service externe, nous demandons qu'aucune donnée ne soit stockée de manière permanente par cette partie. Les données sont traitées, nous sont renvoyées et restent chez nous. Cela limite l'impact d'un éventuel incident chez ce tiers.

Tout cela relève de la gestion des risques liés aux tiers, ce à quoi les régulateurs sont également très attachés. Nous envisageons cette question dans deux directions : nous vis-à-vis de nos fournisseurs et nous, en tant que fournisseur, vis-à-vis de nos clients.

Une entrée pour vous : “La cybercriminalité devient de plus en plus sophistiquée. Les attaquants cherchent constamment de nouveaux moyens d'accéder aux données. Quelles sont nos priorités dans cette lutte ?”

Pierre De Landsheere: “Le plus grand risque n'est souvent pas le piratage hautement sophistiqué, mais le facteur humain. Quelqu'un qui clique sur le mauvais lien, qui ne reconnaît pas un courriel suspect ou qui est approché par téléphone avec une histoire crédible.

C'est pourquoi nous nous engageons fermement à :

  • Sensibiliser nos employés à ce qu'il ne faut jamais faire, à la manière de reconnaître les signes suspects et à ce qu'il faut signaler.
  • Compartimenter les systèmes de manière à ce qu'un incident reste limité et ne puisse pas se propager comme une traînée de poudre sur l'ensemble du réseau.
  • Des outils de contrôle qui surveillent en permanence ce qui se passe sur nos serveurs, notre réseau et nos systèmes et qui détectent les activités suspectes.

En outre, nous appliquons le principe des couches de défense multiples. Vous ne pouvez jamais accéder à nos systèmes en une seule étape. L'accès est accordé, par exemple, via :

  1. Un VPN avec authentification à deux facteurs.
  2. Une connexion distincte aux systèmes internes, avec ses propres droits et contrôles.

Si une couche est violée quelque part, vous n'êtes toujours pas “au cœur” du système. Le risque n'est jamais nul, mais ce type de sécurité par couches réduit considérablement le risque d'incidents graves.

Une contribution pour vous : “Comment rester informé des nouvelles menaces et des évolutions en matière de cybercriminalité ?”

Pierre De Landsheere: “Tout ce que vous lisez dans les journaux n'est pas forcément pertinent pour une organisation comme Input for You. Le risque pour un centre de recherche nucléaire n'est pas le même que pour une entreprise de traitement de documents.

Nous travaillons avec une combinaison de :

  • Produits de sécurité dotés d'une intelligence intégrée, tels que les antivirus, la détection des menaces et la sécurité des réseaux. Ils sont continuellement mis à jour en fonction des nouvelles informations sur les menaces.
  • Des solutions de surveillance à différents niveaux de l'infrastructure, qui détectent les schémas suspects sans que nous devions tout analyser nous-mêmes.

Il n'est pas nécessaire d'être un expert en virus pour utiliser un bon logiciel antivirus. Il en va de même ici : nous achetons l'expertise adéquate par le biais d'outils et nous la combinons à notre propre analyse des risques et à la conception de l'infrastructure.

Une contribution pour vous : “Une fois qu'un client est en ligne, comment s'assurer que la sécurité et la protection des données confidentielles restent au niveau requis à long terme ?”

Pierre De Landsheere: “Il s'agit d'une combinaison de contrôles périodiques et de processus continus.

Chaque année, nous réalisons notamment les actions suivantes :

  • Tests de pénétration, pour vérifier l'existence de nouvelles vulnérabilités.
  • Les analyses de réseau, pour vérifier systématiquement l'infrastructure.
  • L'audit externe ISO 27001, qui vérifie si l'ensemble de notre système de gestion est toujours conforme.

En outre, des processus internes tels que la gestion des risques, la gestion des incidents, la surveillance, la sauvegarde et la reprise après sinistre fonctionnent en permanence.

Il est également important de normaliser autant que possible notre infrastructure informatique. Une seule approche pour les sauvegardes, une seule approche pour la reprise après sinistre, un seul système de surveillance global. De cette manière, nous évitons un enchevêtrement d'exceptions et nous nous assurons que tout relève de la même couche de protection.

Nous nous distinguons dans nos services par la personnalisation. Au cœur de l'informatique et de l'infrastructure, nous nous efforçons de normaliser, précisément parce que c'est plus sûr et plus facile à gérer”.”

Une contribution pour vous : “Enfin, comment voyez-vous l'avenir de la sécurité et de la confidentialité des données dans notre contexte ?”

Pierre De Landsheere: “L'avenir nous réserve certainement davantage d'intégrations et d'automatisations avec des tiers. C'est presque inévitable. Le grand défi sera alors de savoir comment garder le contrôle sur ce qu'il advient des données, d'un point de vue contractuel, juridique et opérationnel.

L'IA et les nouveaux outils rendent beaucoup de choses possibles, mais le modèle consiste souvent à jeter des données par-dessus la clôture et à obtenir quelque chose en retour, sans savoir exactement ce qui se passe en cours de route. Il s'agit là d'un problème fondamental pour les données confidentielles.

Chez Input for You, nous essayons de garder ce contrôle. Soit nous faisons les choses nous-mêmes, soit nous nous assurons d'avoir suffisamment notre mot à dire et notre avis sur le traitement, en parfaite conformité avec le GDPR, qui fait référence à la finalité et aux moyens du traitement des données.

Une chose est sûre : l'intégration et l'automatisation se poursuivront. Notre rôle est de veiller à ce que nos clients puissent nous confier leurs données confidentielles en toute confiance au cours de cette évolution, car nous assurons le contrôle, la surveillance et la sécurité dans le cadre de nos services.

À propos de Pierre De Landsheere

Pierre De Landsheere est le responsable de la sécurité externe d'Input for You depuis plus de dix ans. Il conseille plusieurs entreprises en matière de sécurité de l'information, de certification ISO 27001 et de conformité au GDPR. Dans ce rôle, il aide Input for You à suivre le rythme des nouvelles réglementations, des évolutions technologiques et des attentes des clients, sans perdre de vue la confidentialité et la sécurité des données.

isabelle gilles

Post comment