On ne choisit pas un logiciel de gestion de l’intérim ou une solution professionnelle par hasard. Bien sûr, la question des besoins et des usages est importante, mais ce n’est pas la seule. Il faut aussi s’assurer que la plateforme s’intègre simplement dans une architecture technique existante, mais surtout que les données qu’elle contient sont particulièrement bien protégées.
La question de la gouvernance de l’information, et plus globalement de la cybersécurité, est hautement stratégique pour les agences d’intérim, compte tenu de la quantité d’informations personnelles qu’elles accumulent. La mise en place d’une politique de sécurité est indispensable, et celle-ci trouve son fondement dans les normes et certifications officielles.
Des risques existants qui doivent être gérés
Qui dit données personnelles stockées sur un serveur dit forcément risque de piratage, de vol ou de vandalisme.
Exemples avec trois menaces et risques omniprésents dans les entreprises :
- Le ransomware (ou rançongiciel) : c’est un logiciel qui chiffre les fichiers d’un ordinateur ou d’un serveur et qui nécessite le paiement d’une rançon (généralement via une cryptomonnaie comme le bitcoin) pour le déverrouillage. Un simple clic sur un lien vérolé ou un fichier infecté peut mener à l’installation du ransomware à l’insu de l’utilisateur.
- Le vol de données : les données de vos employés et vos fournisseurs, vos données bancaires, votre fichier de prospects, vos clients, vos salariés en intérim, votre CRM, etc. intéressent les pirates qui peuvent ensuite les revendre en ligne. Une activité lucrative, particulièrement lorsque ces dernières sont mal protégées et facilement accessibles.
- Le phishing (ou hameçonnage) : un salarié reçoit un e-mail qui semble venir de votre banque ou de votre fournisseur d’accès internet, vous demandant de vous identifier pour régler un problème urgent. Le lien renvoie vers un site en tout point semblable au site officiel, mais appartenant au pirate qui récupère alors vos identifiants.
Pour les agences d’intérim, il est important de procéder à une identification des risques et de les traiter pour les rendre acceptables (après application d’un certain nombre de mesures techniques ou organisationnelles). C’est une démarche qui passe par une phase d’audit, de sécurisation, de mise en place de contre-mesures, et de processus prêts à l’emploi en cas de gestion de crise.
Sur quels critères se baser pour choisir le bon prestataire
Les données personnelles sont la matière première des agences d’intérim. Elles travaillent avec des femmes et des hommes aux identités, aux compétences et aux disponibilités vérifiées. Par conséquent, les données personnelles doivent être très sécurisées à la fois en interne, au sein des agences, mais aussi lorsqu’elles les confient à un éditeur pour la mise en place d’une solution.
Travailler avec un éditeur certifié ISO 27001 est ainsi une preuve de sérieux et un gage de confiance, car cela souligne la mise en place d’une politique forte en matière de cybersécurité et de gouvernance de données. Rappelons également que le RGPD met en place un cadre légal que les agences d’intérim doivent respecter. Ainsi, les données personnelles traitées par PIXID le sont toujours pour le compte de ses clients, qui sont les entreprises utilisatrices (EU) et les entreprises de travail temporaire (ETT). Ce sont ces dernières qui sont responsables du traitement des données, car PIXID agit en tant que sous-traitant.
La certification ISO 27001 : un gage de confiance et de sécurité
La sécurité de l’information est un élément stratégique chez PIXID qui est portée par la direction générale depuis sa création. Certifiés ISO 27001 depuis 2017, nous gérons un système de management de sécurité de l’information qui gère tous les processus de protection et de gouvernance des données.
ISO 27001 est une norme internationale qui définit les exigences pour la mise en place d’un système de gestion de la sécurité de l’information. Elle couvre les aspects humains, techniques, organisationnels et juridiques de la sécurité de l’information. |
« ISO 27001 est une norme qui nous permet de réduire les risques résiduels et d’intégrer une logique d’amélioration continue. Renouvelée tous les trois ans et vérifiée tous les ans, c’est une norme qui apporte un gage de sécurité et de confiance pour les clients et les utilisateurs des solutions de PIXID. Nous garantissons que les données des ETT sont protégées, hébergées dans les meilleures conditions de sécurité, et avec des processus de gestion de droits très poussés. Au sein de notre politique de sécurité, nous réalisons des tests, des ateliers de sensibilisation, des bug bounties rémunérés, et des simulations en temps réel pour mettre à l’épreuve constamment notre application et nos utilisateurs internes chez PIXID. Chaque nouvelle fonctionnalité de la plateforme est testée dans les moindres détails au niveau de la cybersécurité avec un état d’esprit dit de « security and privacy by design ». Parce que tout est cloisonné, si une ETT est attaquée, aucune donnée hébergée chez PIXID ne sera compromise. Et l’inverse est aussi vrai. »
Patrick Foubert, RSSI de PIXID et membre du conseil d’administration du club 27001
L’œil de PIXID
Pour PIXID, investir du temps, des efforts et de l’argent dans la sécurité de sa solution est indispensable pour permettre à ses clients de travailler en toute confiance. C’est un choix assumé qui nous a conduits à être certifiés sur tous les processus d’information.