Chez Values Associates, les enjeux de sécurité et de protection des données sont pris très au sérieux. Et l’expert sur ces sujets en interne, c’est Alexandre Joly, qui porte les casquettes de RSSI (responsable de la sécurité des systèmes d’information) et de DPO (délégué à la protection des données). Il nous explique les stratégies mises en place pour assurer une protection optimale des données chez Values Associates.
« Ma mission est de garantir la sécurité de l’information au sens large »
Le spectre d’intervention d’Alexandre est vaste : il est en effet responsable de la sécurité des données à la fois matérielles (comme les factures papier) et numériques. Et ce, tout autant au sein de l’entreprise que sur les applications à destination des clients.
En interne, il s’agit essentiellement de protéger les données RH des collaborateurs, ainsi que les informations sur les prospects et les clients, conformément à la réglementation RGPD (règlement général de protection des données). Sur les applications, « nous avons une responsabilité en cas de violation des données de nos clients, en tant que sous-traitant et co-traitant » explique Alexandre, « nous devons aussi nous adapter aux politiques de confidentialité spécifiques de chacun de nos clients » ajoute-t-il. De nombreux défis à relever, donc !
« La sécurité de notre système d’information repose sur 3 éléments clés »
Le premier élément est la confidentialité : Values Associates applique le principe du « moindre privilège », c’est-à-dire que chaque utilisateur a des droits d’accès limités en fonction du travail qu’il doit réaliser. « Une personne qui travaille sur un dossier A ne peut pas accéder aux données d’un dossier B », explique Alexandre. Il existe par ailleurs des procédures d’effacement sécurisées, et toutes les données sont systématiquement chiffrées.
Le deuxième élément est l’intégrité : pour que les informations restent inaltérées et fiables depuis leur création jusqu’à leur utilisation finale, toutes les actions menées sur l’application sont tracées. Il est donc possible de consulter un historique détaillé de l’activité de chaque utilisateur, et des back-ups sont disponibles en cas de problème.
Le troisième et dernier élément est la disponibilité : « nous faisons en sorte d’avoir des systèmes toujours fonctionnels » pointe Alexandre. Pour cela, Values Associates a fait le choix de miser sur des serveurs implantés en France, avec OVH comme partenaire.
« Nous suivons aussi proactivement un certain nombre d’indicateurs afin d’anticiper les anomalies et éviter ainsi d’éventuelles interruptions de service », précise-t-il.
« Nos clients apprécient notre maturité sur les questions de sécurité »
Les équipes de Values Associates sont très proactives en matière de sécurité : les applications ont par exemple été construites en utilisant le standard de la norme de sécurité OWASP ASVS, dont le niveau 2 a été atteint cette année. Les exigences de la norme ISO 27001 sont également appliquées de manière volontaire.
Alexandre est d’ailleurs lui-même certifié ISO 27001, et il est membre, à titre personnel et professionnel, de l’association CESIN (Club des Experts de la Sécurité de l’Information et du Numérique). « Cela me permet de rencontrer des homologues, d’échanger avec eux des bonnes pratiques et de gagner ainsi du temps sur certaines problématiques », souligne-t-il. De quoi rester à la pointe sur son métier, et garantir au mieux la sécurité de l’information chez Values Associates !