À quel point mes documents seront-ils en sécurité?
Il s’agit d’une bonne question de départ lorsque vous commencez à rechercher et à évaluer un système de gestion de documents.
Les brèches de sécurité attirent beaucoup l’attention et pourraient sembler banales, mais vous et votre entreprise ne devriez pas les prendre à la légère. Il y a beaucoup de mesures que vous pouvez prendre pour les éviter : en commençant par votre manière de protéger vos documents, vos informations et vos données.
Dans cet article, nous présenterons sept fonctions de sécurité à rechercher dans un système de gestion de documents. Ces fonctions de sécurité jouent un rôle essentiel pour sécuriser votre information : autant pour les brèches intérieures possibles (accidentelles ou pas) que pour les attaques extérieures.
Nous indiquerons également quelques questions à poser pour évaluer un système.
Qu’est-ce qu’un système de gestion de documents?
Pour commencer, nous pourrions demander : qu’est-ce qui définit un système de gestion de documents? Nous offrons une réponse approfondie dans notre article « Les raisons de passer à une solution de gestion de documents professionnelle dès maintenant ».
Pour la réponse rapide… même si tout système ou processus responsable de la gestion des documents peut être défini comme un système de gestion de documents, maintenant, l’expression en tant que telle réfère habituellement aux plateformes numériques qui stockent et archivent les documents électroniques.
Vous pourriez également voir une variation dans les types de systèmes de gestion de documents. La sécurité des documents varie d’un système à l’autre et en tant qu’entreprise, vous devriez trouver celui qui fait en sorte que vos documents sont le plus sécuritaires possible.
Comment évaluer la sécurité de vos documents?
La sécurité de vos documents est importante. La perte de données et les litiges sont des maux de tête que personne ne souhaite avoir, surtout avec les amendes et la perte de réputation potentielles qui pourraient ruiner une entreprise.
Pour évaluer la sécurité actuelle de vos documents et de votre information, posez-vous ces questions à propos de la manière dont votre organisation gère les documents :
– Comment nous protégeons-nous des brèches de sécurité internes accidentelles ou délibérées?
– Sommes-nous protégés des menaces de piratage?
– Comment accéderions-nous à nos informations et les récupérerions-nous en cas de catastrophe naturelle?
– Pourrions-nous être accusés de mauvaise gestion des données? Pourrions-nous prouver un bon traitement des documents et des données?
– Y a-t-il une politique et des pratiques de rétention claires en place pour les informations juridiquement sensibles?
– Sommes-nous à risque d’avoir des pénalités financières?
Vous pouvez examiner plus en profondeur la manière dont vos documents sont traités en regardant comment vos employés interagissent et travaillent avec les documents. Voici quelques questions pour vous aider à commencer :
– Les employés peuvent-ils obtenir les documents dont ils ont besoin au moment et à l’endroit où ils en ont besoin?
– Les employés savent-ils toujours s’ils consultent le document le plus récent?
– Les employés sont-ils formés à bien traiter les documents, surtout contre les attaques de piratage social et psychologique?
Une fois que vous aurez les réponses à ces questions, et à toute autre question que vous aurez trouvée, vous saurez à quelles fonctions de sécurité des documents vous devriez accorder la priorité.
Sept fonctions de sécurité clés à rechercher dans un système de gestion de documents
Ces questions abordent les fonctions de sécurité d’un système de gestion de documents. Si vous regardez la gestion de documents en nuage, où le fournisseur héberge votre système, vous pourriez vouloir poser des questions précises à propos de la sécurité de son centre de données.
Lisez en plus à propos de la gestion de documents en nuage dans notre article « Intégration de la sécurité des documents dans vos procédures d’affaires quotidiennes ».
1 – Chiffrement des données
La sécurité d’un système de gestion de documents commence par sa manière de chiffrer les données.
Toutefois, ce n’est pas seulement le système en soi que vous devriez évaluer. Vous voulez également comprendre la sécurité des données entre les différents systèmes, y compris les ordinateurs, les tablettes et les autres appareils qui pourraient se connecter au système.
Recherchez le chiffrement 256 bits (AES). Il s’agit d’un chiffrement de qualité militaire et la norme la plus élevée pour les documents confidentiels du gouvernement américain. Cela peut sembler excessif, mais ce ne l’est pas. La plupart des systèmes d’entreprise utilisent au moins cette norme.
Le trafic entre les systèmes et les appareils devraient également comprendre le chiffrement HTTPS. HTTPS a ajouté une couche de sécurité de TLS/SSL. Il manque ce protocole de sécurité à la communication HTTP standard, ce qui fait en sorte qu’il est plus facile pour les pirates d’intercepter les données importantes comme les mots de passe et les informations financières, surtout lorsque les employés pourraient accéder au système depuis des emplacements à distance.
2 – Gestion des droits d’accès
Contrôler qui peut accéder aux documents est essentiel. Vos documents devraient seulement être accessibles après qu’un utilisateur a entré son nom d’utilisateur et son mot de passe. Assigner des utilisateurs au système limite le risque d’accès non autorisé. Des droits d’accès spécifiques peuvent être attribués afin que les utilisateurs voient seulement les documents qui sont pertinents pour eux.
Vous pouvez également définir différents niveaux d’engagement avec un document. Certains utilisateurs pourraient être en lecture seule alors que d’autres pourraient avoir des droits de modification complète. La plupart des systèmes vous permettront de définir l’accès au niveau d’un groupe, mais pour une meilleure sécurité, recherchez des systèmes qui permettraient la définition de droits d’accès au niveau individuel également.
Idéalement, vous devriez être en mesure de restreindre l’accès même aux données d’indexation d’un document (métadonnées), les données qui décrivent le contenu et l’objectif d’un document.
3 – Redondance
Qu’adviendra-t-il de vos données et vos documents si une défaillance se produit quelque part? La sécurité est souvent associée à la protection contre les attaques ou l’accès injustifié, cependant, la protection contre les défaillances technologiques est essentielle. Si une panne de système survient (pour quelque raison que ce soit), vous devez savoir que vous pouvez récupérer vos données et assurer la continuité de vos opérations.
Peu importe si vous choisissez une gestion de documents en nuage ou une mise en œuvre sur place, vous devriez avoir un minimum de deux niveaux de redondance de stockage. De plus, vous devriez ajouter une troisième couche de sécurité à un emplacement hors site, préférablement à un endroit éloigné géographiquement, afin d’être protégé contre les catastrophes naturelles.
C’est un des avantages de la gestion de documents dans le nuage. En plus de ne pas avoir besoin d’une infrastructure sur site et de faire vos propres sauvegardes, les centres de données qui hébergent ces systèmes ont déjà ces redondances en place.
Un élément à considérer est la souveraineté des données. Que vous choisissiez la gestion des documents en nuage ou la sauvegarde dans un centre de données de tierce partie, vous devez savoir où vos données seront stockées. Les fournisseurs de nuage sont censés s’assurer que toutes vos données et vos sauvegardes resteront à l’intérieur des frontières du pays qui vous protègent et protègent vos données d’un point de vue légal.
4 – Protection antivirus
Un maliciel intégré à un document peut causer des ravages sur les systèmes et les appareils locaux. Vous devez vous assurer que votre système se protège activement contre ces menaces afin de protéger la plateforme et les appareils des utilisateurs.
5 – Politiques de rétention et de conformité
Certains documents ont des exigences précises de cycle de vie. Les mandats juridiques pourraient vous demander de conserver les documents pour une durée minimum définie. Par exemple, au Canada, l’Agence du revenu du Canada conseille aux entreprises de conserver des registres et les documents connexes pour une période de six ans à compter de la fin de l’exercice financier auquel ces documents se rapportent.
Heureusement, les documents numériques sont maintenant un moyen acceptable de stockage. Même s’ils vous permettent d’économiser de l’espace (et des coûts de stockage), vous devez tout de même avoir un plan bien établi pour gérer le cycle de vie des documents.
Vous pourriez également avoir à considérer la conformité aux réglementations. La protection des données (RGPD), une transparence fiscale (Sarbanes-Oxley) et la confidentialité des renseignements (LPRPDE) sont seulement quelques-unes des exigences de conformité que vous pourriez devoir aborder.
6 – Intégrité des documents
Votre entreprise et vous devriez être en mesure d’avoir confiance en l’authenticité des documents, et ce, chaque fois que quelqu’un y accède. Le chiffrement et les droits d’accès sont inutiles à moins que vous puissiez valider l’état et l’authenticité de chaque document.
Un système de gestion de documents fait cela de plusieurs façons :
– Les signatures électroniques – une signature électronique qualifiée est le type de signature électronique le plus sécuritaire. Elle assure que la signature est légitime et que le document n’a pas été modifié ou manipulé, parce qu’un fournisseur de service de confiance autorisé a authentifié le signataire et a émis une certification numérique comme validation.
– La gestion des versions – le système devrait également faire le suivi des moments où les documents sont ouverts et fermés lorsqu’on y accède et que des changements sont effectués. Une nouvelle version est créée lorsqu’un document est changé. Cela aide à protéger la validité d’un document en enregistrant qui a changé quoi et quand et assure que les utilisateurs mettent à jour et modifient seulement la version la plus récente.
– Des journaux des changements – un système de documents devrait enregistrer tous les accès, les commentaires et l’état de flux de travaux de chaque document, afin qu’un historique complet puisse être reconstitué au besoin. Vous devriez être en mesure d’accéder à ces informations par un fichier CSV ou un autre format de fichier courant.
7 – Capacités de vérification
La production de rapports est une norme dans la plupart des systèmes d’entreprise. Lorsque vous évaluez différents systèmes de gestion de documents, vous voudrez vous assurer que le système offre le niveau de production de rapports dont vous avez besoin. Ce pourrait être au niveau des types ou de la profondeur des rapports disponibles, ou encore au niveau de la facilité de récupération des rapports.
Il y a beaucoup d’éléments à considérer lorsque vous évaluez un système de gestion de documents pour votre organisation. Voici quelques questions que vous pouvez poser en évaluant la sécurité d’un système.
