Guillaume Despagne, Président d’ARIADNEXT
Decideo : Du fait du passage en télétravail, des données confidentielles clients sortent de l'entreprise. Et elles arrivent dans un environnement beaucoup moins sécurisé, la table du salon de l'employé, et parfois sur un PC personnel non fourni par l'entreprise. Comment gérez-vous ce risque "externe" ? Une fois les données sorties, il devient impossible de les contrôler. Il est possible de les imprimer, de les copier, de les photographier...
Guillaume Despagne : Les données de nos clients continuent à être traitées sur nos serveurs dans notre Datacenter et elles n’ont aucune raison d’arriver sur les postes de nos collaborateurs. Seules les données de test peuvent éventuellement circuler avec l’accord de nos clients. Néanmoins, comme nous manipulons des données sensibles, nous avons quelques mesures en place :
- Le télétravail est en place depuis plus d’un an chez ARIADNEXT et nous avons déjà des process rodés.
- Les disques durs de nos collaborateurs sont chiffrés
- Les ordinateurs personnels ne sont pas autorisés à se connecter à distance
- Les liaisons entre les postes des collaborateurs et nos serveurs de travail sont chiffrés par un VPN administré par nous-mêmes
- Chaque collaborateur a un accès restreint aux serveurs et données qui lui sont nécessaires dans le cadre de sa mission.
- Les consignes de sécurité habituelles s’appliquent : la session de travail est verrouillée en cas d’absence devant le poste.
Decideo : Vous appuyez-vous totalement sur la confiance dans le salarié ? Pourtant vous ne savez pas qui vit chez lui, qui vient lui rendre visite alors que son PC est allumé... On a vu, comme dans l'affaire Desjardins en juin 2019, que les principales fuites de données viennent de l'intérieur...
Guillaume Despagne : l’humain est un facteur à risque bien plus que les techniques mises en place qui elles sont rodées. Mais là encore chez lui ou au travail, le collaborateur qui souhaiterait réaliser un acte de malveillance aurait du fil à retordre. En effet, tous nos serveurs sont chiffrés. ARIADNEXT ne stocke aucune donnée sauf à la demande du client. Les données passent et en quelques secondes, elles sont supprimées. De plus, tous nos recrutements passent par une notion de confiance surtout dans nos domaines. Ce n’est pas sous prétexte d’une crise sanitaire que nos collaborateurs vont devenir malveillants….
De plus, cette remarque est valable également dans des conditions normales, sinon il n’y aurait jamais de scandales aux fuites de données.
Decideo : Quid du RGPD. Comment vous assurez-vous que ces nouvelles formes de travail respectent parfaitement le RGPD. Là encore, une fois les données "sorties", il devient impossible d'exercer les droits de la personne (droit à l'oubli, retrait de consentement...)
Guillaume Despagne : Les données des clients de nos clients ne sont pas accessibles depuis les postes de nos collaborateurs et ne font que transiter sur les serveurs de production. Les informations nominatives sensibles (images des documents d’identité, données extraites et contrôles effectués sont effacés à la fin de traitement, soit au bout de 12 secondes maximum)
Decideo : Que pensez vous du passage en "Cloud". Est-il un plus ou un moins en matière de sécurité des données ?
Guillaume Despagne : Chez ARIADNEXT nous avons nos propres serveurs hébergés dans nos locaux. Même si aujourd’hui bon nombre de nos clients utilisent le cloud, nous leur garantissons que toutes les données qui transitent par chez nous et qui devraient, à un moment ou un autre par leur volonté, être stockées chez ARIADNEXT le seront sur nos data center avec nos propres technologies, validées par l’ANSSI et auditées en moyenne 2 fois par an. Nous accordons beaucoup d’importance à la sécurité et nous savons que certains n’ont pas fait ce choix. Ici, une équipe IT est dédiée à ce sujet et y veille scrupuleusement.
Guillaume Despagne : Les données de nos clients continuent à être traitées sur nos serveurs dans notre Datacenter et elles n’ont aucune raison d’arriver sur les postes de nos collaborateurs. Seules les données de test peuvent éventuellement circuler avec l’accord de nos clients. Néanmoins, comme nous manipulons des données sensibles, nous avons quelques mesures en place :
- Le télétravail est en place depuis plus d’un an chez ARIADNEXT et nous avons déjà des process rodés.
- Les disques durs de nos collaborateurs sont chiffrés
- Les ordinateurs personnels ne sont pas autorisés à se connecter à distance
- Les liaisons entre les postes des collaborateurs et nos serveurs de travail sont chiffrés par un VPN administré par nous-mêmes
- Chaque collaborateur a un accès restreint aux serveurs et données qui lui sont nécessaires dans le cadre de sa mission.
- Les consignes de sécurité habituelles s’appliquent : la session de travail est verrouillée en cas d’absence devant le poste.
Decideo : Vous appuyez-vous totalement sur la confiance dans le salarié ? Pourtant vous ne savez pas qui vit chez lui, qui vient lui rendre visite alors que son PC est allumé... On a vu, comme dans l'affaire Desjardins en juin 2019, que les principales fuites de données viennent de l'intérieur...
Guillaume Despagne : l’humain est un facteur à risque bien plus que les techniques mises en place qui elles sont rodées. Mais là encore chez lui ou au travail, le collaborateur qui souhaiterait réaliser un acte de malveillance aurait du fil à retordre. En effet, tous nos serveurs sont chiffrés. ARIADNEXT ne stocke aucune donnée sauf à la demande du client. Les données passent et en quelques secondes, elles sont supprimées. De plus, tous nos recrutements passent par une notion de confiance surtout dans nos domaines. Ce n’est pas sous prétexte d’une crise sanitaire que nos collaborateurs vont devenir malveillants….
De plus, cette remarque est valable également dans des conditions normales, sinon il n’y aurait jamais de scandales aux fuites de données.
Decideo : Quid du RGPD. Comment vous assurez-vous que ces nouvelles formes de travail respectent parfaitement le RGPD. Là encore, une fois les données "sorties", il devient impossible d'exercer les droits de la personne (droit à l'oubli, retrait de consentement...)
Guillaume Despagne : Les données des clients de nos clients ne sont pas accessibles depuis les postes de nos collaborateurs et ne font que transiter sur les serveurs de production. Les informations nominatives sensibles (images des documents d’identité, données extraites et contrôles effectués sont effacés à la fin de traitement, soit au bout de 12 secondes maximum)
Decideo : Que pensez vous du passage en "Cloud". Est-il un plus ou un moins en matière de sécurité des données ?
Guillaume Despagne : Chez ARIADNEXT nous avons nos propres serveurs hébergés dans nos locaux. Même si aujourd’hui bon nombre de nos clients utilisent le cloud, nous leur garantissons que toutes les données qui transitent par chez nous et qui devraient, à un moment ou un autre par leur volonté, être stockées chez ARIADNEXT le seront sur nos data center avec nos propres technologies, validées par l’ANSSI et auditées en moyenne 2 fois par an. Nous accordons beaucoup d’importance à la sécurité et nous savons que certains n’ont pas fait ce choix. Ici, une équipe IT est dédiée à ce sujet et y veille scrupuleusement.
