La sécurité des données est essentielle dans un monde connecté. D’un côté la transformation digitale impose une ouverture au monde, à la mobilité, au collaboratif, au partage avec le client et les confères.
De l’autre les menaces incitent à la fermeture, celle des ransomwares, du phishing, du piratage (cf article des Echos).
Entre ces deux injonctions contradictoires, comment mettre en place la bonne stratégie de sécurité ?
La sécurité de vos données est comme un trésor à protéger
Votre argent est-il en sécurité ?
En comparant vos données à votre argent, on peut tenter de faire progresser la réflexion en répondant à la question suivante : où votre argent est-il plus en sécurité ?
- Sous votre matelas
- Dans un coffre chez vous
- A la banque
Si vous répondez 1, vous avez, vous allez ou vous êtes en train de vous faire pirater vos données.
Réponse 2, vous avez investi beaucoup d’argent pour vous mettre à l’abri des pickpockets, mais pas des voleurs.
La réponse 3 bien sûr est la bonne. Vous êtes protégés, sécurisés et assurés : tout va bien.
Sécurité des données = confiance
La sécurité des données de votre cabinet obéit à la même logique. Vous pensez naturellement que vos données sont en sécurité chez vous, près de vous, alors qu’elles sont sujettes au vol, à l’inondation, au feu, au dysfonctionnement technique, au manque de mise à jour, etc. C’est la réponse 1, la croyance de la sécurité mais rien pour la sécurité.
Si vous avez un serveur redondé, une sauvegarde et un administrateur réseau, vous avez investi dans un « coffre ». Avez-vous, comme l’état de l’art le préconise, procédé deux fois par an à une restauration complète de vos données et de celles de vos clients, afin de vérifier la qualité de vos sauvegardes ? Avez-vous des pare-feux, VPN et politique de sécurité au niveau des pratiques des hackers actuels ? Si oui, vous êtes fort, vous êtes riche… et vous êtes seulement partiellement protégé. Un hacker n’aura aucun mal, par un simple email, à tromper votre vigilance et se propager dans l’ensemble de votre réseau interne… C’est la réponse 2.
Si vous travaillez avec un acteur cloud professionnel, qui vous garantit par contrat une technologie, une procédure, une assurance et une restitution de vos données en cas de demande, alors vous êtes protégé des hackers, des demandeurs de rançons, des pertes/dysfonctionnement, du départ soudain de votre informaticien, etc. Vous êtes dans la réponse 3, à la banque, protégé et garanti.
C’est bien entendu une question de confiance : vous faites confiance à la banque parce que vous la connaissez, vous ne faites pas encore confiance aux acteurs cloud car vous ne le connaissez pas encore. Cela peut changer rapidement !
Héberger ses données dans le cloud
Vous avez décidé de mettre vos données dans le cloud. Votre regard se tourne immédiatement vers Dropbox, Gmail et autres solutions éprouvées et réputées. C’est un bon choix sur le plan technique : solutions stables, bien pensées, accessibles, pas chères. Mais savez-vous que vos données sont hébergées aux Etats-Unis, transitent sur leur territoire et font face à des menaces juridiques élevées ? La sécurité des données est aussi une question juridique.
Le Règlement Général sur la Protection des Données (RGPD) vous impose de tracer et garantir l’utilisation et le stockage des données personnelles des citoyens européens. C’est-à-dire vous et vos clients. Vous n’avez pas ces informations avec les solutions grand public américaines précitées.
Ce RGPD vous impose également, dans son article 45, de veiller au pays dans lequel sont stockées vos données. Le choix le plus sûr en termes juridiques est de stocker ses données en France, à défaut dans l’Union Européenne. Ainsi êtes-vous assurés de respecter la sécurité juridique des données.
Dans son article 20, le RGPD impose également « le droit à la portabilité des données », en clair que vous puissiez restituer à votre client, sur simple demande de sa part, l’ensemble de ses données.
De manière générale, le lieu d’hébergement des données peut engager la territorialité juridique et vous imposer une législation particulière. C’est pourquoi le choix d’un hébergement français peut être à privilégier.
Choix de son partenaire technologique
Généralités
En tant que responsable des données de vos clients, vous devez être capable à tout moment de rendre comptes à l’autorité de contrôle de l’état de ses traitements de données. Ainsi, le choix de votre éditeur de logiciel doit être celui d’un partenaire technologique. Est-il conscient de ces textes ? A-t-il intégré dans sa technologie, dans ses pratiques, dans ses contrats, toutes ces notions ?
Il vous est recommandé de vous assurer d’un certain nombre de points avant de choisir votre éditeur. Ces points doivent être contractualisés et vérifiables. Sous des mots techniques et un peu barbares se cachent généralement des concepts simples et logiques : sécurité, chiffrement, fréquence de sauvegarde, engagement de disponibilité. Peu d’acteurs du marché prennent néanmoins d’engagements contractuels.
Les engagements Jarvis Legal
Pour notre part, voici quelques-uns des engagements que nous prenons pour garantir la sécurité des données des avocats et de leurs clients :
- lieu et mode d’hébergement des données : en France, au Luxembourg ou aux Etats-Unis suivant le choix du client. Par défaut, c’est en France (hébergeurs Gandi et OVH).
- Sécurité de grade bancaire (chiffrement des données et connexion via protocole HTTPS et certificat AES 256-bits)
- Garanties de disponibilité (engagements SLA)
- Politique de sauvegarde poussée : 3 sauvegardes par jour, 6 par semaines et 2 sur les 2 derniers mois, soit 11 jeux de sauvegardes disponibles en permanence et de manière glissante
- Facilité d’accès et d’export des données, clauses de restitutions
- Assurance en cas de perte ou de corruption des données
- Dépôts auprès d’une autorité informatique tierce (clause escrow) : nous déposons tous les 6 mois nos codes sources auprès de Logitas afin que même en cas de disparition, nos clients puissent continuer à bénéficier, dans les mêmes conditions techniques et financières, de leur accès au logiciel
Ne laissez pas la sécurité des données de votre cabinet aux seules mains des experts ! Prenez toute votre part à la définition de votre stratégie et aux moyens de la mettre en place. Pour notre part, tout est compris dans le prix mensuel, c’est très simple :o)
Pour en savoir plus sur le RGPD, vous pouvez utilement lire l’article suivant : http://www.village-justice.com/articles/RGPD-Reglement-General-sur-Protection-des-Donnees-qui-bouleverse-Loi,23774.html