Le blog

La sécurité des données dans un système de GED : protection contre les cyberattaques, la perte de données et la violation de la confidentialité.

03 mai 2023 | Dématérialisation / GED

Par Arnaud Delastre
Associé et chef de projets clients

La mise en place d’une GED (gestion électronique des documents) dans une entreprise entraîne la dématérialisation totale des données et des documents. Elle offre de nombreux avantages comme la centralisation des documents, la réduction des coûts et une meilleure productivité. Cette solution n’est pourtant pas à l’abri des dangers inhérents à tout système informatique. Il est nécessaire d’assurer la sécurité des données de la GED, notamment contre les cyberattaques aux conséquences potentiellement désastreuses pour l’entreprise visée. Comment se prémunir contre ces dangers ?

 

La nécessité de protéger la sécurité des données GED contre les cyberattaques

D’après le baromètre du Cesin (club des experts de la sécurité de l’informatique et du numérique) présenté en janvier 2023, la part des entreprises françaises victimes d’une cyberattaque réussie a décru de 45 % en 2022.

Pour autant, 45 % des 328 sociétés ayant répondu à l’enquête ont dû faire face à une cyberattaque ayant abouti. Pour 60 % d’entre elles, l’attaque a eu des conséquences négatives sur leur activité, dont la perturbation de la production, la compromission d’information, des pertes sur le chiffre d’affaires, etc.

Les cyberattaques peuvent prendre plusieurs formes, dont les suivantes :

  • à l’aide de rançongiciels, les hackers ont pour objectif d’obtenir de l’entreprise le paiement d’une rançon pour éviter la publication de documents internes avec des conséquences financières, matérielles et réputationnelles ;
  • l’hameçonnage, ou phishing en anglais, prend la forme d’un SMS ou d’un courriel frauduleux pour tromper la victime et l’inciter à communiquer des données sensibles en se présentant comme un tiers de confiance.

Les cybercriminels ne visent pas seulement les grands groupes, mais également les PME et les TPE. Ces entreprises sont des proies plus faciles dans la mesure où la protection contre les risques informatiques n’est souvent pas leur priorité. Pourtant, 50 % d’entre elles font faillite dans les 6 mois qui suivent l’attaque.

Des solutions GED mal sécurisées constituent à ce titre des portes d’entrée pour les pirates informatiques qui cherchent à atteindre les systèmes d’information.

D’autres risques sont également dus :

  • À la négligence des utilisateurs. En commettant des erreurs de manipulation, ces derniers peuvent entraîner la perte de données ou la destruction de documents.
  • Aux dysfonctionnements informatiques comme la défaillance d’un terminal ou une panne de réseau qui en corrompant les documents peuvent empêcher leur lecture.
  • À la divulgation d’informations par des agents non habilités.

Protéger son logiciel de GED en suivant les préconisations du RGPD (Règlement général sur la protection des données)

Les exigences du RGPD ont pour objectif de garantir le stockage sécurisé et confidentiel des données qui ne doivent être accessibles qu’aux personnes habilitées. Les dispositifs de protection sont notamment les suivants :

  • Le chiffrement qui a pour objet de rendre les données illisibles pour tout utilisateur ne disposant pas d’une clé de déchiffrement ;
  • Les parefeux qui sont des dispositifs de sécurité réseau permettant le contrôle des accès à un réseau ou à un système. Les accès non autorisés seront bloqués.
  • Les contrôles d’accès permettent de gérer les droits des utilisateurs à un réseau ou à un système en fonction de leurs rôles et responsabilités dans l’entreprise.
  • Les procédures de sauvegarde et de restauration qui permettent de récupérer les documents stockés dans la GED.

Ces dispositifs reposent sur un processus de sécurité propre à l’entreprise pour garantir la protection des données :

  • La définition d’une politique de gestion des accès aux données selon leur degré de sensibilité.
  • Des procédures d’autorisation et d’authentification définies avant d’accorder l’accès au réseau.
  • La revue des accès dans le cadre du contrôle interne.
  • Les procédures de gestion des incidents de sécurité. Ces dernières permettent de détecter, d’analyser et de gérer les incidents de sécurité. Il peut s’agir de procédures d’alerte, d’analyse, de notification des autorités et des personnes concernées.

Ces mesures assurant la sécurité et la confidentialité en GED ne sont pas exhaustives et doivent être adaptées à l’environnement de l’entreprise, aux données stockées et aux besoins en matière de sécurité.

Exemples de bonnes pratiques

D’autres dispositifs doivent garantir la sécurité des données pour les DAF notamment en matière de GED.

Il s’agit en premier lieu d’assurer la disponibilité des données. Ainsi, le Cloud repose sur des équipements (réseaux, serveurs, stockage) hébergés dans des datacenters. Il peut être recommandé de faire un choix éclairé en la matière :

  • un hébergement en France offre davantage de garanties ;
  • une infrastructure multisites permet le rétablissement plus rapide des services et pallie les éventuelles défaillances d’un datacenter (panne, incendie, cyberattaque…) ;

La confidentialité des données doit aussi être assurée. En plus de la question des accès et de la gestion des droits, d’autres dispositifs peuvent être mis en place :

  • Le transfert des données par un canal sécurisé SSL. Dès la connexion, les échanges entre le poste de l’utilisateur et les serveurs font l’objet d’un chiffrage au sein d’un tunnel SSL fourni par le protocole HTTPS. Ce protocole est déjà utilisé par les banques pour leurs connexions à leurs interfaces de gestion de comptes en ligne.
  • Le cryptage des documents stockés en AES (norme de chiffrement avancé). Les documents sont chiffrés avec une clé spécifique à chaque client. La clé est cryptée avec le mot de passe de l’utilisateur qui est le seul à même de déchiffrer le document.

Autre point important : l’intégrité des documents. Cette dernière pourra être garantie notamment par :

  • la conversion des documents déposés au format PDF/A, considérée comme pérenne ;
  • des contrôles d’intégrité réguliers lors du stockage (comparaison de l’empreinte du document avec celle de son dépôt).

En outre, la traçabilité des traitements doit être assurée par un horodatage lors du dépôt du document, par des journaux (système, documentaire) et par l’historique du document (actions opérées sur ce dernier depuis son dépôt).

Enfin, l’ensemble des dispositifs assurant la sécurité des données dans un système GED doit faire l’objet d’une sensibilisation du personnel à travers une formation par exemple.

 

Ainsi, il existe des solutions efficaces pour assurer la sécurité des données dans un système de GED. La protection des données telle qu’exigée par le RGPD, le choix de l’hébergement, la sécurité des échanges d’informations, la traçabilité des traitements, la formation du personnel sont autant de pistes pour mettre en place un dispositif sécurisé.

 

 

Arnaud Delastre
Par Arnaud DelastreAssocié et chef de projets clients

Associé et chef de projets clients depuis plusieurs années au sein de Deltic, j’accompagne les clients dans leur projet de dématérialisation. De la configuration, à la personnalisation, à l’installation de votre outil GED, au suivi et à l'évolution de votre projet, nous mettons un point d'honneur à vous satisfaire et vous faire vivre la meilleure expérience client. Les logiciels de dématérialisation et de GED n'ont plus aucun secret pour moi.

SES AUTRES ARTICLES

Tout voir

Ces articles peuvent également vous intéresser

Revenir en haut

© 2021 - Fait avec à La Rochelle Mentions légales - Données personnelles et cookies

Veuillez remplir tous les champs obligatoires.
L'email est invalide.
Deltic