Les solutions collaboratives en SaaS se sont imposées dans les entreprises, plébiscitées à la fois par les DSI et par les utilisateurs.
Mais leur essor s’accompagne d’inquiétudes (légitimes) vis-à-vis de la sécurité des données sensibles. Les mesures de protection sont-elles adéquates ? Ces outils permettent-ils aux organisations de garantir leur conformité avec la réglementation ? Les collaborateurs sont-ils suffisamment formés et sensibilisés ? Et quid de la souveraineté des informations ?
Heureusement, il n’est plus nécessaire de chercher un compromis entre la facilité d’utilisation (en mode SaaS) et la sécurité : des solutions innovantes et souveraines favorisent la collaboration dans un environnement Cloud de confiance, tout en s’adaptant à des besoins métiers spécifiques.
C’est tout l’objet du webinaire organisé par Oodrive : concilier productivité et sécurité avec des outils collaboratifs puissants, par le prisme d’une « bulle de confiance » dont le périmètre s’étend au gré des besoins. Animé par Damien Douani, cet événement réunissait quatre experts :
- Joy-Alexandra Denis, RSSI chez Arquus.
- Raphaël Chassard, Responsable DigiTeam chez Crédit Agricole CIB.
- Sylvain Lefeuvre, Head of Sales chez Oodrive.
- Philippe Hebert, Chief Customer Officer chez Oodrive.
Retrouvez les grandes lignes de ce webinaire autour des enjeux liés aux outils collaboratifs, à la sécurité et à la confiance numérique.
Qu’est-ce qu’une « bulle de confiance » ?
Le cadre réglementaire appliqué aux échanges numériques
Dans l’écosystème digital des entreprises, la « bulle de confiance » désigne deux choses : d’une part, le cadre réglementaire bâti brique par brique par les autorités (françaises et européennes) dont l’ambition est de définir la notion de « donnée sensible » (ou « critique »), de mettre en place des protocoles pour faire remonter les alertes, et plus globalement de protéger les organisations dont les activités sont considérées comme stratégiques (en France, les OIV et les OSE).
Le cloud privé SecNumCloud
Le référentiel qui garantit le plus haut niveau de sécurité pour la protection de vos données sensibles.
Ce cadre légal vise à contraindre les entreprises et les administrations à classifier leurs données sensibles et à héberger les plus critiques chez des opérateurs certifiés (SecNumCloud notamment), mais aussi à s’intéresser à leur souveraineté – leur indépendance vis-à-vis des lois extracommunautaires.
À ce titre, il faut rappeler que les solutions collaboratives d’Oodrive hébergent l’intégralité des données en France, hors de portée des lois internationales intrusives.
La sécurité des données au sein de l’entreprise
D’autre part, la « bulle de confiance » renvoie à l’ensemble des mesures de protection mises en place au niveau de l’entreprise elle-même lorsqu’il s’agit de traiter les données sensibles.
En interne, bien sûr, mais également en connexion avec les partenaires extérieurs – car le périmètre de cette bulle est amené à s’étendre au gré des besoins et de la croissance de l’entreprise via le recours à des solutions SaaS, sans jamais rogner sur les garanties de sécurité (comme cela s’est passé au sein du Crédit Agricole CIB).
L’aspect proprement « métier » de cette bulle revêt trois dimensions :
- Le degré de sensibilité de la data (classification nécessaire) au regard du contexte de l’entreprise et du cadre réglementaire (RGPD, eIDAS, etc.).
- Les acteurs qui traitent la donnée (en interne et en externe) : leurs usages et le niveau de risque associé.
- L’espace-temps de la donnée (son cycle de vie : comment elle est créée, partagée, co-éditée et enrichie).
Ces trois dimensions sont autant de critères à prendre en compte pour constituer une bulle de confiance cohérente et efficace.
Selon les termes de Joy-Alexandra Denis :
« La bulle de confiance n’a de sens que si elle répond aux besoins métiers de l’organisation. À la manière d’une porte coupe-feu, elle n’est efficace qu’à condition de la placer au bon endroit. »
On pourrait ajouter : à condition, aussi, que les collaborateurs sachent précisément où la positionner. Car, en matière de confiance numérique, la dimension humaine ne doit surtout pas être négligée.
Egalement la bulle de confiance concerne, comme le souligne Sylvain Lefeuvre, les données internes et externes.
« On parle à la fois des données internes et donc du cycle de vie de la donnée interne, mais aussi de la donnée externe et c est là où est le challenge. La bulle de confiance s’etend de plus en plus de manière inter et intra entreprise et c est dans ce cadre là qu’on doit agir aujourd’hui.»
Quelles bonnes pratiques pour garantir la sécurité des données en entreprise ?
Sur ce point, il existe un certain nombre de bonnes pratiques à instaurer en entreprise pour offrir aux données sensibles un écrin aussi sécurisé que possible. Voici les principales :
- Établir des politiques de sécurité claires et s’assurer que les enjeux liés aux données sensibles (classification et protection) sont parfaitement compris par les collaborateurs.
- Mettre en place des processus de classification des informations selon différents niveaux de sensibilité, et proposer aux utilisateurs des solutions pour traiter ces informations en fonction de leur criticité.
- Favoriser l’adhésion des collaborateurs en choisissant des outils à la fois adaptés aux besoins métiers et faciles à prendre en main, à travers une implication totale des DSI et des directions métiers. Chez Oodrive, ce rôle d’accompagnement est chapeauté par les Customer Success Managers, qui font de tout projet technique une réussite opérationnelle.
- Organiser des formations et des campagnes de sensibilisation. Car il ne suffit pas d’expliquer l’usage technique d’un outil : il faut aussi que les utilisateurs en saisissent les enjeux et qu’une véritable « philosophie de sécurité » soit mise en place. Il s’agit, en somme, de comprendre pourquoi on applique ces mesures de précaution – dans quel contexte, pour quel type de données, et dans quel but.
Pour Raphaël Chassard, l’adoption par les collaborateurs passe par une qualification des outils en amont – c’est une affaire de confiance.
« Chez nous, les solutions nouvellement mises en place sont d’autant mieux acceptées par les utilisateurs qu’elles ont été qualifiées, puis validées par des experts. Les collaborateurs savent qu’ils n’ont plus qu’à se focaliser sur les usages, et qu’ils en tireront des bénéfices. »
Mais justement, comment être sûr(e) que l’implémentation d’un tel outil ne sera pas un frein plutôt qu’un accélérateur ?
Concilier sécurité et productivité, est-ce vraiment possible ?
La question est au cœur du processus d’adoption : la surcouche de sécurité offerte par un outil collaboratif SaaS ne doit surtout pas devenir un frein à la fluidité attendue par les utilisateurs. La combinaison des deux est-elle seulement possible ?
Les attentes des utilisateurs en termes d’ergonomie
Il faut bien comprendre que les utilisateurs ne partent pas de zéro : ils ont l’habitude des outils collaboratifs grand public (ceux des GAFAM, notamment – Microsoft Office, Google Drive, etc.) et valorisent leur simplicité d’utilisation.
Il est donc naturel qu’ils attendent des solutions collaboratives sécurisées qu’elles offrent le même degré d’ergonomie et d’intuitivité.
Pour les éditeurs d’outils collaboratifs SaaS, il y a là un challenge majeur : être capables de proposer une expérience utilisateur aussi proche que possible des standards instaurés par les plateformes grand public, mais avec une surcouche de sécurité adaptée à la criticité des données.
En bref, parvenir à trouver l’équilibre entre sécurité et confort d’utilisation, avec un idéal : faire en sorte que l’utilisateur bascule dans la « bulle de confiance » sans même s’en rendre compte.
Une surcouche sécuritaire qui doit rester indolore
En substance, la sécurité de l’outil ne doit pas être un frein au travail collaboratif. Elle doit rester indolore pour les utilisateurs. Ce que Joy-Alexandra Denis résume par la formule suivante : « la sécurité doit se savoir, et surtout pas se voir ».
Pour cela, le choix de la bonne solution doit porter sur deux points : la classification de l’information d’une part, et l’expérience utilisateur d’autre part.
Deux facteurs qui minimisent les frictions pour les usagers, tout en offrant un niveau de sécurité adapté. C’est la clé pour garantir l’adhésion et pour contourner les risques de Shadow IT.
Limiter le catalogue d’offres afin d’orienter les utilisateurs vers les bonnes solutions
Autre facteur d’importance : le fait de trouver un équilibre entre la diversité des besoins métiers et la palette d’offres logicielles accessible aux collaborateurs. Veiller à restreindre suffisamment l’offre pour éviter de perdre les utilisateurs, tout en étant capable de répondre à des besoins spécifiques grâce à des fonctionnalités adaptées.
Un exemple : au sein du Crédit Agricole CIB, on soumet aux utilisateurs des catalogues restreints, de façon à les orienter vers les « bonnes » offres, celles qui combinent à la fois la simplicité d’usage et les garde-fous sécuritaires les plus élevés.
Cela s’applique aux administrateurs aussi bien qu’aux utilisateurs, car c’est au niveau des directions métiers que des failles de sécurité majeures peuvent voir le jour.
Bulle de confiance : quels seront les challenges de demain ?
Nombreux sont les challenges futurs qui attendent les entreprises pour concilier efficacement usages collaboratifs et sécurisation des données sensibles. Du point de vue d’Oodrive, ces enjeux concernent :
- L’identification des données stratégiques et le choix de solutions sécurisées et souveraines.
- La consolidation d’une « philosophie de sécurité » au sein de l’entreprise.
- La mise en place de solutions adaptées telles qu’Oodrive Work pour la collaboration et le partage de données sensibles
- Le développement de briques fonctionnelles pour prendre en charge de nouveaux usages, afin de couvrir tous les besoins d’aujourd’hui et de demain.
La collaboration sécurisée
Créez, éditez et partagez efficacement vos contenus sensibles dans un environnement de confiance.
Du point de vue des entreprises elles-mêmes, il s’agit de responsabiliser toujours plus les collaborateurs, d’aller vers une simplicité accrue des usages, de favoriser un maximum de transparence sur les questions de sécurité… et d’intégrer la hausse exponentielle du nombre de données à ces problématiques.
« À mesure que le volume de data explose, nous devons faire comprendre aux utilisateurs à quel point cette donnée est précieuse et combien elle doit être protégée – au même titre que n’importe quel actif de l’entreprise », souligne Joy-Alexandra Denis.
Chez Oodrive nous observons que, lorsqu’on regarde le cycle de vie de la donnée sensible, il existe encore des moments où cette donnée n’est pas protégée.
Par exemple lors de conduite de réunion ultra-sensible par des comités de direction, qui vont utiliser des solutions ultra sécurisées type Oodrive Meet, mais qui, à coté de cela, ils utiliseront des solutions type « GAFAM », pour la visio par exemple.
Pour Philippe Hebert :
« Notre challenge sera de proposer de nouvelles briques dans notre solution de bulle de confiance pour prendre en charge les nouveaux usages de solution SAAS grand public, qui sont de plus en plus utilisés par les salariés. »
En matière d’outils collaboratifs SaaS, la sécurité ne doit pas être un frein à la fluidité. Au contraire : l’intégration de solutions adaptées aux besoins métiers et à la réglementation en vigueur doit contribuer à booster la productivité en même temps que la sécurité. À condition de choisir les bons outils et de bénéficier d’un accompagnement adapté.