Comment sécuriser vos documents grâce à un logiciel GED

Mettre en place un logiciel de gestion électronique de document (GED) est une excellente option pour accompagner le processus de dématérialisation des entreprises. Pour autant, une mauvaise utilisation de la GED peut soulever des difficultés en termes de sécurité des documents : risques de perte et d’altération notamment. L’entreprise n’est pas non plus à l’abri de menaces externes comme les vols de données et les cyberattaques. Quelles sont les précautions à prendre pour que la GED soit un rempart efficace contre ces risques ?

Prendre les bonnes options à chaque étape clé du cycle de vie des documents dans la GED

De l’acquisition des documents à leur indexation

L’acquisition des documents est essentielle pour s’assurer de la sécurité du processus aux étapes suivantes. Il s’agit en particulier de la numérisation des documents papier et de capturer les documents électroniques. Pour sécuriser cette opération, trois technologies peuvent être utilisées :

• L’OCR (acronyme de Optical Character Recognition) ou reconnaissance optique des caractères permet d’extraire le texte d’un document. C’est un plus par rapport à la scannérisation d’un document qui rend inaccessible l’information textuelle.
• La RAD (ou reconnaissance automatique des documents) permet d’identifier la nature des documents, de réaliser l’extraction automatique et le classement.
• La LAD (ou lecture automatique des documents) permet d’extraire et d’interpréter les informations d’un document rapidement.

Par ailleurs, le dispositif de GED doit s’insérer parfaitement dans l’environnement informatique de l’entreprise. Il s’agit de l’interopérabilité des applications qui permet les échanges automatiques entre les logiciels métiers (ERP, CRM…) et la GED. Ceci est permis par l’interfaçage grâce à des connecteurs ou des API.

L’indexation des documents doit également être bien maîtrisée pour éviter la perte de documents. Il s’agit de leur ajouter des métadonnées. Ces dernières doivent :

• Refléter précisément les documents décrits sans excès (risque de surindexation).
• Intégrer les informations nécessaires à l’exploitation. Cela concerne la recherche et les traitements appliqués aux documents comme l’affichage, les alertes, la traçabilité, etc.

L’indexation est souvent manuelle. Toutefois, il existe des possibilités d’indexation automatique, notamment pour des formats tels qu’ODF et MS Office. Des automates peuvent extraire les informations utiles à partir du fichier d’origine.

Du classement à l’archivage des documents

Un classement sécurisé doit notamment éviter les difficultés des utilisateurs à retrouver des documents dans leur dernière version et les risques de doublons.

Pour ce faire, l’entreprise utilisatrice de la GED doit anticiper les besoins métiers et opter pour un plan de classement adapté. Il existe à ce titre trois possibilités d’organisation des documents par la GED :

• une structuration par dossiers et sous-dossiers proche de l’architecture d’un disque dur ;
• une structure par métadonnées avec un accès aux documents via un moteur de recherche ;
• une structure hybride qui combine les deux précédentes solutions.

Par ailleurs, la sauvegarde des documents doit être correctement assurée pour garantir l’intégrité des documents en cas d’incident. Deux solutions s’offrent à l’entreprise :

• La sauvegarde sur un serveur interne (ou On-Premise). Cette solution permet de garder le contrôle des données, mais nécessite un service informatique performant et une capacité de stockage suffisante au niveau du serveur.
• La sauvegarde sur le Cloud (ou solution en mode SaaS) qui est assurée par l’éditeur. Cette option assure une sauvegarde régulière, les mises à jour et écarte le risque de saturation du serveur.

Vient ensuite l’étape de l’archivage. Un logiciel de GED conserve l’historique des modifications du document au cours de son existence. Il est donc possible de récupérer ses documents avec la GED et d’accéder à une version précédente en cas de besoin. Toutefois, la GED ne prend en charge que les archives courantes et intermédiaires. Il s’agit des documents utilisés fréquemment par l’entreprise et ceux conservés pour des questions juridiques, économiques ou administratives.

Par ailleurs, les documents archivés peuvent toujours être modifiés et supprimés, ce qui peut être vu comme un des inconvénients d’un logiciel de gestion électronique des documents. La GED doit donc être complétée par un logiciel d’archivage électronique (SAE), voire d’un coffre-fort électronique pour les documents sensibles.

Sécuriser les documents par un contrôle interne efficace et de bonnes pratiques en matière de protection des données

Mettre en place un contrôle interne efficace

Le dispositif de contrôle interne est permis par les logiciels de GED à travers notamment la gestion des droits d’accès et des habilitations. Ce point est crucial pour éviter la consultation et les modifications des documents par une personne non habilitée. Il convient également d’éviter la communication de documents sensibles à des personnes extérieures à l’entreprise.

Ainsi, la GED permet un paramétrage assez poussé des droits d’accès en sélectionnant les personnes autorisées à effectuer certaines tâches comme la simple consultation, l’apport de commentaires, la modification des documents, leur diffusion, leur destruction. Les outils de GED permettent même d’automatiser en partie l’attribution de droits selon la nature du document ou en fonction d’attributs spécifiques.

Une revue régulière des habilitations est également indispensable pour s’assurer de leur actualité et de leur pertinence.

Une autre dimension du contrôle interne consiste à éviter les erreurs humaines et les mauvaises manipulations. Cet aspect est particulièrement sensible lors de la mise en place de la GED. Elle nécessite notamment un accompagnement du changement au plus proche des équipes et la mise à disposition d’une documentation à jour.

Les bonnes pratiques en matière de protection des données

Les protocoles employés par la GED permettent la tenue d’un journal des événements afin de détecter une intrusion éventuelle dans le système. De plus, une GED conforme au RGPD (Règlement général sur la protection des données) prévoit certains dispositifs de protection comme :

• Le chiffrement des données au moment de leur archivage nécessitant une clé de déchiffrement pour les lire. Il est possible d’utiliser une clé conforme à un protocole de cryptage du type Advanced Encryption Standard (AES)
• L’existence de pare-feux bloquant tout accès non autorisé.

Par ailleurs, il est possible de sécuriser ses documents par de bonnes pratiques comme :

• une certification de la solution GED par la norme ISO 27001. Celle-ci atteste d’une bonne gestion des risques relatifs à la sécurité des données conformément aux normes internationales ;
• un hébergement des données en France pour les solutions SaaS et leur réversibilité (facilité de changement de prestataire) ;
• des données cryptées en SSL (ou Secure Sockets Layer) ;
• une infrastructure multisites pour faire face aux éventuelles difficultés d’un datacenter (cyberattaque, incendie, panne…) ;
• une sensibilisation du personnel en matière de sécurité informatique.

Ainsi, il est possible de sécuriser les documents avec un logiciel GED en exploitant l’ensemble de ses fonctionnalités. Ceci requiert une bonne approche méthodologique, mais aussi la connaissance des limites de la GED, par exemple en matière d’archivage.