Aujourd’hui, les activités du secteur financier suscitent plus que jamais l’intérêt général. La protection des données est essentielle pour prévenir les cyberattaques susceptibles d'entraîner des violations de données, des pertes financières et des atteintes à la réputation. Les secteurs bancaire et financier doivent investir dans de solides mesures de sécurité des données : la formation des employés, les contrôles d'accès, le cryptage et les évaluations régulières sont des éléments essentiels de toute stratégie efficace.

En novembre dernier, le logiciel de gestion d’entreprise “Winbiz”, fut victime d’une virulente cyberattaque menant à l’arrêt momentanée du logiciel. L’hébergeur du logiciel stockait naturellement des informations sensibles.

Les logiciels utilisés par les organisations représentent un risque important. Considérés aujourd’hui comme des alliés irremplaçables des professions administratives, les plateformes clouds nous aident à gérer les ressources humaines, le suivi de projets, le partage de fichiers et de contenu, à construire un historique de la clientèle, etc. Toutes plus sensibles les unes que les autres, ces données doivent faire l’objet de mesures strictes et robustes pour prévenir les cybermenaces et pour se conformer aux exigences réglementaires.

L’avènement du télétravail ces dernières années consolide l’importance de la protection des données au travers des logiciels utilisés par les collaborateurs. Ainsi, le choix d’un logiciel doit être documenté pour une intégration sûre. Les critères à prendre en compte lors de la sélection sont les suivants :

Hébergement des données

Localisation du stockage de données :

Certaines entreprises sont surprises d’apprendre que leurs données sont stockées dans un pays tiers. Un prestataire de type SaaS est libre d’héberger ses données dans le pays de son choix, peu importe la localisation de son siège. Il est crucial de connaître le pays hébergeur afin de s’assurer que le pays en question bénéficie qu’une stabilité juridique et politique solide, stricte et transparente.

Si les données sont stockées dans un pays digne de confiance, il est pertinent également de s’assurer que le fournisseur ne pratique pas le “transfère temporaire” de données. Ce phénomène, plus fréquemment utilisé par les fournisseurs informatiques globaux, implique que les données transitent par des serveurs étrangers avant d’être stockées en Suisse. Il est alors important de vérifier que ce transfert est légal et conforme aux normes GDPR.

Fiabilité de l’hébergeur :

Il existe des certifications normalisant la sécurité de l’information des hébergeurs web. Parmi elles, la certification la plus reconnue est ISO/IEC 27001.

Certification de la protection des données

Les entreprises qui externalisent leurs systèmes et leurs processus critiques doivent s’assurer que les fournisseurs appliquent des contrôles indépendants et stricts sur la gestion des données. Parmi ces certifications indépendantes, on cite SOC 2, délivré par l'AICPA (American Institute of Certified Public Accountants) et utilisé par les organismes évoluant dans le secteur des SaaS (Software-as-a-service). Il garantit aux clients que l’organisme en question a conçu et mis en œuvre des contrôles efficaces pour gérer les aspects suivants : la sécurité, la disponibilité, l'intégrité du traitement, la confidentialité et la protection de la vie privée. Cette norme existe depuis de nombreuses années aux États-Unis et trouve son équivalent dans le monde entier avec la norme ISO 270001.

On considère que la Suisse est en retard sur les Etats-Unis et sur le reste de l'Europe en ce qui concerne le reporting SOC 2. En effet, la Suisse a manifesté plus tardivement la prise de conscience des normes de sécurité et de protection de l'information. Les premiers élans majeurs quant aux démarches de certifications sont menés par les grandes entreprises soumises à des réglementations strictes comme le secteur financier. Ces entreprises exigent alors de leurs fournisseurs de services de se conformer à la norme SOC 2 et fournissent un rapport annuel permettant de répondre aux exigences internes et externes.*1

Authentification et accès aux comptes

Un logiciel, quel qu’il soit, représente une source d’informations critique pour une entreprise. L’accès à l'outil doit être sécurisé, il est donc recommandé de se renseigner sur la disponibilité des fonctionnalités suivantes :

• Disponibilité de l’authentification à double facteur
• Disponibilité de l’authentification SAML, si pertinente pour le client
• Possibilité de gérer les droits de manière personnalisée à l’intérieur de l’outil, afin de donner accès aux informations aux personnes strictement concernées.

Chiffrement

Si une entreprise utilise une application web, elle doit s’assurer que l’app en question utilise une connexion HTTPS sécurisée par des certificats SSL dans le but de prévenir l’espionnage sur le web et sur la correspondance email. En plus du chiffrement en transit, le chiffrement des données au repos permet d’éviter une situation tel que celle vécue par WinBiz et ses clients.

WEDO : la solution sécurisée pour la collaboration dans le secteur financier

Les sujets sensibles et la politique de confidentialité sont au cœur des tâches quotidiennes des collaborateurs du secteur financier. De la gestion des tâches au contenu traité lors de réunions en tout genre comme les réunions d’équipe, les entretiens bilatéraux, les entretiens avec les clients/assurés ou encore les conseils d’administration, la traçabilité des discussions est aussi cruciale que leur discrétion.

Le logiciel SaaS WEDO, entièrement développé et hébergé en Suisse, est une plateforme collaborative spécialement conçue pour répondre aux difficultés de sécurité rencontrées dans les secteurs sensibles. Grâce à son gestionnaire de tâches et son module de réunion personnalisable, la plateforme permet de partager des fichiers et de centraliser les informations nécessaires à la collaboration des équipes, tout en donnant la possibilité de configurer les droits d’accès de chaque utilisateur.

Ils ont fait confiance à WEDO pour gérer leur collaboration interne :