La cybersécurité n'est pas un enjeu technique comme on l'entend souvent. C'est avant tout un cadre politique, législatif et réglementaire qui définit les conditions dans lesquelles on va protéger une donnée sur le plan technologique. Il faut donc dissocier les enjeux de sécurité au sens informatique et les enjeux de cybersécurité qui consistent à protéger la donnée, la valeur immatérielle de l'entreprise.
Comment se protéger du risque cyber ?Il existe plusieurs manières de se protéger contre le risque cyber, il y a le cadre de la sécurité informatique en générale et le cadre réglementaire qui va imposer des normes de sécurité très précises, c'est notamment l'article 32 du règlement européen sur la protection des données, le RGPD.
Comment protéger cette donnée ?
Aujourd'hui, la meilleure manière de protéger une donnée, quelle qu'elle soit et quel que soit l'environnement du support informatique sur lequel on s'appuie, c'est de la chiffrer. Si une donnée chiffrée "passe à l'air libre", elle n'intéresse personne parce que déchiffrer coûte très cher...
Il y a plusieurs façons de chiffrer la donnée. De manière générale, c'est la direction des systèmes d'information qui va porter techniquement ce besoin de chiffrage. Jusqu'il y a un an, cela nécessitait des investissements assez coûteux, aujourd'hui, il existe une offre technologique européenne de très bonne qualité et avec des politiques tarifaires très accessibles. Il est donc possible de protéger de bout en bout, toutes les informations échangées avec un sous-traitant, le sous-traitant du sous-traitant, en respectant le cadre réglementaire et en protégeant les données.
Y a-t-il d'autres moyens de protéger mes échanges avec mes fournisseurs ?Si l'on ne peut pas chiffrer la donnée, passer par une solution logicielle dédiée aux achats, elle-même sécurisée et hébergée sur un cloud souverain constitue également une très bonne manière de sécuriser ses échanges.
Pour une direction achats, la compromission de la donnée peut avoir un effet désastreux. Que risque mon entreprise en cas de défaillance ?
Si une partie du secret des affaires est publiée et connue de vos concurrents, ceux-ci connaîtront vos positions précises sur vos innovations ou sur vos positions de marché. L'image de votre entreprise peut également être impactée par la publication de ces données.
Le conseil de Frans Imbert-Vier pour une direction achats de prestation intellectuelles
Pour une direction des achats qui achète une prestation intellectuelle à un fournisseur, qui lui-même sous-traite la prestation, il faut savoir que si vous êtes à l'initiative du traitement de ces données, vous portez la responsabilité juridique et réglementaire si une faute est commise. Pour vous protéger, la première solution est juridique. Il faut rédiger une clause de confidentialité particulière qui restreint et qui régie considérablement les conditions dans lesquelles l'information est échangée avec le sous-traitant et à quelles conditions ce sous-traitant peut échanger avec un autre tiers. Il faut alors inclure un droit d'audit dans cette clause juridique qui va soumettre un contrôle potentiel avec des pénalités en cas du non-respect de la règle. Correctement rédigée, cette clause constitue le premier rempart de la protection de votre entreprise et de ses données.