search Le média de ceux qui réinventent l'entreprise

[Etude de cas] Garantir un niveau élevé de protection des données grâce à la sécurisation des échanges

[Etude de cas] Garantir un niveau élevé de protection des données grâce à la sécurisation des échanges

Par Pierre Rangdet

Mis à jour le 7 avril 2020, publié initialement en 3 mars 2020

La digitalisation des process qui opère depuis plusieurs années au sein des organisations entraîne une multiplication des flux de données et des échanges.

Que ce soit en interne, mais surtout auprès de leurs parties prenantes (clients, fournisseurs, partenaires…) les entreprises, de toutes tailles, se doivent d’assurer sécurité et traçabilité sur les données partagées tout en proposant des outils simples s’intégrant facilement dans l’environnement de travail de leurs collaborateurs.

Retour d’expérience de Sogetrel, acteur français majeur sur les solutions télécoms, que LockSelf accompagne depuis 3 ans via son module LockTransfer.

Découverte de cette solution de transfert de fichiers, à travers cette interview d’Emmanuel Meyer, RSSI (Responsable des Systèmes d’Information) au sein de Sogetrel.

Pouvez-vous dans un premier temps présenter la société et son secteur d’activité ?

Emmanuel Meyer:

Sogetrel est une ETI française indépendante qui, en plus de 35 années de conquête, est devenu un acteur national et reconnu sur le marché des télécoms, de la sûreté IP et des solutions digitales.

Nous avons su tisser des relations durables et de confiance avec une clientèle toujours plus diversifiée.

Fort de plus de 4 000 collaborateurs et avec 95 implantations, le Groupe Sogetrel possède un maillage dense sur le territoire national, en Suisse et en Belgique pour être au plus près de ses clients. En 2019, le Groupe Sogetrel a réalisé un chiffre d’affaires de 640M d’euros.

Quelles problématiques adressez-vous en tant que RSSI chez Sogetrel ?

Emmanuel Meyer:

En tant que RSSI, j’adresse deux sujets principaux.

Premièrement, la protection des données de l’entreprise, c’est-à-dire aider l’entreprise à protéger son capital informationnel.

J’ai une deuxième casquette concernant la protection des données personnelles, que ce soit celles de nos collaborateurs, mais également celles que nos clients nous confient, en particulier celles de leurs abonnés puisque nous en avons besoin dans le cadre de nos prestations.

Concernant la protection des données et la manière de les utiliser, comment cela se traduit-il chez Sogetrel en termes de processus ou d’outils ?

Emmanuel Meyer:

Cela se traduit tout d’abord par la mise en place d’une politique de sécurité de notre SI (PSSI) avec un engagement fort de la direction.

C’est le COMEX qui a impulsé la démarche au sein de Sogetrel au travers de la mise en place d’une équipe dédiée que j’encadre.

Cela se traduit également par la mise en place de bonnes pratiques périmétriques et de réseau. La DSI travaille notamment beaucoup sur de nouvelles solutions (sécurisation du réseau, SD-WAN) avec de la veille continue sur les solutions du marché.

« L’objectif est d’avoir un système d’information à un niveau plus élevé que les standards de sécurité. »

En termes d’outils, c’est finalement la combinaison d’une suite de solutions de sécurité, d’un arsenal de solutions complémentaires dont fait partie la solution LockTransfer sur la partie échange sécurisé de documents vers des tiers.

En quoi cela est-il important pour vous de sécuriser les échanges de documents avec des tiers ?

Emmanuel Meyer:

On se rend compte qu’en interne 95 % des données transitent par des processus métier qui sont sécurisés.

En revanche, comme dans tout process industriel, il y a des données qui ne rentrent pas dans les processus standards et bien souvent cela sort par les médias type mail ou transfert de fichiers et à ce niveau-là nous faisons face à l’imagination débordante des utilisateurs avec des échanges via clé USB, ou des solutions de partage « grand public »…

Si on ne donne pas de solution à l’utilisateur, il va les trouver lui-même et cela présente un risque fort pour nous.

Nous avons donc une politique en termes de filtrage puisque toutes les solutions de « files sharing » sont bloquées en standard. Ceci présente l’avantage de ne pas avoir trop d’informations qui partent sur des médias non sécurisés.

Nous ne pouvons pas bloquer les solutions qui ne nous conviennent pas sans proposer d’alternatives répondant à nos besoins de sécurité. Nous avons donc mis en place une solution de transfert de fichiers sécurisés, à savoir LockTransfer.

Quels ont été les critères de choix de LockTransfer ? À quel(s) besoin(s) répond cet outil ?

Emmanuel Meyer:

Notre politique est de ne pas utiliser de solutions grand public, ne répondant pas aux attentes professionnelles.

En plus de la partie sécurité, l’autre besoin est la disponibilité puisqu’il arrive régulièrement que certaines de ces solutions grand public soient victimes d’attaques, indisponibles pendant 12 h, 24 h, 48 h et cela pose problème si ces solutions sont utilisées sur des process qui nécessitent justement de la disponibilité.

Au-delà des besoins, il y a aussi les enjeux liés à la protection des données personnelles. Je parle bien évidemment du RGPD qui se traduit concrètement pour nous par une augmentation des exigences de nos clients vis-à-vis des données qui nous sont confiées.

Le point de départ c’est la réglementation qui fait que Sogetrel, directement, doit se mettre à niveau sur ses propres données afin de nous assurer de leur protection. Mais l’essentiel des données que nous manipulons sont celles de nos clients, et là c’est au travers des exigences contractuelles que l’on remarque une vraie prise de conscience.

Il y a donc aujourd’hui des risques de sanctions si la mise en conformité du RGPD n’est pas respectée, avec un risque financier conséquent pour l’écosystème. Mais je crois que la notion de confiance numérique est également centrale, avec une balance entre défiance et confiance des utilisateurs vis-à-vis des solutions, et c’est à nous de placer le curseur sur la confiance avec des outils adaptés à leurs usages.

Une fois implémentée, à quels cas d’usages la solution LockTransfer a-t-elle permis de répondre ?

Emmanuel Meyer:

Je vais commencer par le périmètre le plus proche de mes fonctions, c’est-à-dire les équipes sécurité et la DSI. 

Nous sommes amenés à manipuler des données sensibles puisque nous faisons des contrôles, des audits sur des configurations, des infrastructures de notre SI et nous devons assurer leur confidentialité.

Lorsque nous réalisons des tests externes d’intrusion par exemple, le partage de ces résultats avec nos tiers est sensible par nature, et passe par LockTransfer.

Deuxièmement, dans nos métiers de la sûreté, nous sommes amenés à échanger avec des clients et lorsque ces derniers n’ont pas de solutions à nous proposer, nous sommes force de proposition pour du partage sécurisé via LockTransfer. Ces échanges se font pendant ou post-projet.

Autre cas d’usage, au niveau de nos équipes commerciales, c’est l’utilisation des boîtes de dépôts cloisonnées dans le cadre d’appels d’offres. La solution nous permet de mettre à disposition les éléments du cahier des charges et de réceptionner de manière cloisonnée et sécurisée les offres des différents partenaires.

Pour finir, si vous deviez donner trois points forts de la solution ?

Emmanuel Meyer:

Le premier point est le volet ergonomie avec un « Look & Field » attractif et une facilité de prise en main. Quand je présente la solution en interne, en 1 min 30 s les collaborateurs sont autonomes sur l’outil.

L’autre dimension, c’est le fait d’avoir une solution 100 % française avec la garantie d’un hébergement des données en France (Hébergeur : 3DS Outscale).

Enfin, c’est évidemment la certification ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information). Sur des solutions de ce type, le fait d’avoir un hébergement en France avec une certification ANSSI sont deux axes très importants.

Conclusion

La sécurisation des échanges est donc à la fois le fruit d’une prise de conscience des DSI quant aux risques portant sur leur patrimoine informationnel, mais également d’un nouveau cadre réglementaire qui, par ruissellement, augmente le niveau d’exigence de l’ensemble de l’écosystème.

Face à ces enjeux, les organisations doivent embarquer leurs collaborateurs en proposant des outils adaptés à leurs usages.

Transfert avec protection par mot de passe, création d’espace d’échange sécurisé et cloisonné, intégration directe sur les clients Office et Gmail, LockTransfer permet de mettre en place des bonnes pratiques simplement tout en maintenant un niveau de sécurité élevé.

Article sponsorisé. Les contributeurs experts sont des auteurs indépendants de la rédaction d’appvizer. Leurs propos et positions leur sont personnels.