Sécuriser ses projets SI Achats
Depuis quelques années, le nombre de cyberattaques grimpe en flèche. Pour les acheteurs, tout l'enjeu est de sécuriser leur projet d'achat SI dès le démarrage et d'assurer une exploitation sereine de la solution.
Je m'abonneRansomware, vol de données, diffusion de données personnelles, virus, phishing, fraude au président... Aujourd'hui, aucune entreprise n'est épargnée par la cybercriminalité. Dans ce contexte, le Conseil national des achats (CNA) a organisé le 13 janvier 2022, en partenariat avec ITLAW Avocats, un atelier HAlab des contrats IT sur le thème de la sécurité.
Penser à la sécurité dès le début du projet
Pour maîtriser les risques, ITLAW Avocats insiste sur l'importance d'intégrer l'aspect sécurité dès le début d'un projet d'achat d'une solution informatique (SI). "Il est intéressant d'adopter une approche DICT qui va indiquer les points sur lesquels il faut être vigilant : la disponibilité de la solution, l'intégrité des sauvegardes, la confidentialité et la traçabilité", détaille Marine Hardy, avocate et directrice des pôles innovations et sécurité du cabinet ITLAW Avocats. Autre aspect important pour les acheteurs: s'assurer de la fiabilité des prestataires. "Il est nécessaire de leur poser un certain nombre de questions pour vérifier leur niveau de sécurité et contrôler leurs certifications ainsi que leurs audits", explique Marine Hardy. De même, il est préconisé de passer en revue le contrat afin de déceler les éventuels points sur lesquels le prestataire n'engagerait pas, ou très peu, sa responsabilité en termes de sécurité."
"Il ne faut également pas oublier d'auditer les contrats en cours et de renégocier certaines clauses", conseille Marine Hardy.
Lire aussi : Vendor Management System vs e-procurement : le match des solutions d'achats de prestations intellectuelles
Une exploitation sereine de la solution
Une fois les contrats négociés, il est fondamental de mettre en place une organisation qui permettra une exploitation sereine de la solution. A commencer par la sensibilisation des utilisateurs. "Le facteur humain est l'un des risques majeurs en matière de sécurité informatique", rappelle Marine Hardy. Plusieurs outils peuvent aider à accomplir cette mission: mise en place de chartes d'utilisation, présentation des différents types de fraudes et des cyber risques ou encore organisation de formations. L'acheteur doit également porter une attention sur la gestion de la conformité légale du contrat et maintenir une veille technique et juridique.
"Aujourd'hui, le secteur est très évolutif et beaucoup de textes sont annoncés. Il faut être alerte sur le sujet et prévoir des mécanismes contractuels afin que les prestataires se mettent en conformité avec le référentiel légal", indique l'avocate. En cas d'attaque du système d'information, il est important d'avoir identifié, en amont, les obligations légales de l'entreprise: quelles sont les procédures à mettre en place, quels tiers doivent être prévenus (salariés, clients...), qui s'occupe de déposer la plainte pénale, etc. "Il est également intéressant de repérer les partenaires qui pourront accompagner l'entreprise : huissier, avocat ou encore prestataire technique", note Marine Hardy. En somme, se préparer au pire pour mieux réagir en cas d'imprévu. Un enjeu de taille, quand on sait que les cyberattaques ont augmenté de 13% en 2021, selon Orange Cyberdéfense.
Des enjeux en matière de RGPD
La protection des données à caractère personnel représente un élément clé en matière de cybersécurité. Dans ce cadre, le RGPD impose des obligations précises pour les entreprises. Certains articles de ce texte ont notamment trait à la gestion des incidents de sécurité et à la mise en place de mesures techniques et organisationnelles. Le RGPD rend également obligatoire le DPA (Data processing agreement ou contrat de traitement de données). "Lorsque l'on négocie un DPA, certains points sont cruciaux en matière de sécurité, notamment la qualification du "data breach" (violation de données), l'accord des parties sur les audits, les références aux exigences sectorielles ou encore les certifications pour s'assurer de la qualification du prestataire", remarque Céline Dogan, avocate chez ITLAW Avocats.