Connexion
/ Inscription
Mon espace
Tribunes & Témoignages
ABONNÉS
Partager par Linked-In
Partager par Xing
Partager par Facebook
Partager par email
Suivez-nous sur feedly

[Tribune] Sécurité : 15 questions à poser à votre solution de Contract Management

DiliTrust, acteur des solutions SaaS pour les directions juridiques, s’est forgé un savoir-faire reconnu au contact des directions juridiques des grands groupes et des entreprises de taille intermédiaire. La société s’emploie à accompagner les entreprises dans leur transformation digitale, plus qu’un projet technique, c’est aussi une révolution culturelle et une étape essentielle du développement des entreprises. Fort de son expertise sur le sujet, DiliTrust préconise des prérequis pour intégrer en toute simplicité une solution de Contract Management et assurer la sécurité des données contractuelles.

Pourquoi doit-on se préoccuper de la sécurité de ses contrats ? A l’heure de la transformation digitale, la sécurité est essentielle et plus particulièrement sur les contrats qui contiennent de nombreuses informations sensibles comme les noms des parties, les obligations de chacun, les prix, les échéances à venir ou encore les pénalités de retard. Une solution de CLM permet de réduire les litiges et les risques tout en gagnant du temps.

Quelles sont les plus grandes menaces actuelles en matière de cybersécurité ? En matière de cyber-attaque, les pirates informatiques ont recours actuellement aux attaques suivantes :

  • Les ransomwares : les données sont prises en otage contre une rançon. Pour y parvenir, le programme informatique malveillant se cache dans les mails et plus précisément lors de l’ouverture des pièces--jointes.
  • Le spearphising consiste en l’usurpation d’identité d’une entreprise privée ou d’une administration par email.
  • Le piratage : une cyber-attaque externe ou interne qui vise à infiltrer le réseau informatique.

Est-ce que votre entreprise est certifiée ? Si oui, quel périmètre ? Pour s’assurer au mieux de la sécurité des contrats, il est préférable de choisir un partenaire ayant obtenu une certification. Les normes ISO/IEC 27001 : 2013 et ISO 27701 : 2019 sont les plus connues. Elles sont des garanties en termes de sécurité. Pour les obtenir, une société doit réaliser un inventaire de ce qui est fait dans l’entreprise en termes de sécurité et convenir d’un plan en cas d’attaque. A la suite de l’obtention de la certification, trois audits sont réalisés pendant trois ans afin de déterminer le renouvellement de celle-ci ou non.

Quelles sont vos obligations de conformité en matière de données sensibles ? Une procédure stricte est opérée lors de la collaboration avec un nouveau sous-traitant et un certain nombre de points sont à vérifier tels que la collecte d’un accord préalable des clients, informer des droits d’accès, veiller à la sécurité des systèmes d’informations, assurer la confidentialité des données et indiquer la durée de conservation des données.

Où les données des contrats seront-elles hébergées ? A ce jour, l’Europe a mis en place différents cadres législatifs pour protéger les données tel que le RGPD. Il est ainsi préférable que les données soient hébergées en Europe pour garantir une plus grande protection et bénéficier des recours.

Comment les données des contrats sont-elles protégées ? Au préalable, il faut vérifier les données des clients et s’assurer qu’elles sont bien chiffrées et comment.

Est-ce que les infrastructures de l’entreprise sont certifiées ? La plupart du temps, les infrastructures (et non pas l’entreprise) des Legaltech sont certifiées ISO/IEC 27001 : 2013, SSAE16 SOC1, SOC2, SOC3 apportant un gage de protection.

Etes-vous conforme au RGPD ? A savoir que le Règlement Général sur la Protection des Données est obligatoire et applicable dans tout Etat membre de l’Union Européenne. Il encadre le traitement des données personnelles et renforce le contrôle par les citoyens de l’utilisation qui peut être faite.

Est-ce que les équipes sont formées en matière de sécurité de l’information et de risques ? Chaque collaborateur de l’entreprise doit être informé, engagé et formé.

Est-ce que des sauvegardes des données sont effectuées ? Les sauvegardes de sécurité des données doivent être réalisées régulièrement. Pour aller plus loin, un PCA (plan de continuité d’activité) doit être mis en place ainsi qu’un PRA (Plan de Reprise d’Activités) pour récupérer les données dans l’état avant tout incident (coupures, piratage, incendie, vol…).

En cas d’attaque, quelles sont les mesures mises en place au niveau des infrastructures ? L’ensemble des systèmes d’information est basé sur une infrastructure composée de serveurs, d’un réseau, de logiciels et de données. Il est nécessaire de faire des mises à jour régulièrement et d’identifier les données les plus sensibles puis de prévoir un plan de continuité d’activité.

L’architecture est-elle multi-tiers ? Avoir une architecture informatique multi-tiers permet d’améliorer la sécurité grâce à des niveaux indépendants les uns des autres.

Avez-vous mis en place des mesures d’anti-flooding ? Le flooding informatique est le fait d’inonder une machine pour en bloquer le fonctionnement. En optant pour un bon firewall avec une bonne sécurisation, l’entreprise peut se prémunir de ce type d’agression.

Y a-t-il un système de prévention des intrusions (IPS) ? Le système IPS est un outil d’analyse du trafic réseau et de la détection des cyberattaques afin de les bloquer. 

Quels sont les prestataires utilisés par votre partenaire CLM ? L’entreprise choisie doit pouvoir présenter la liste complète de ses partenaires.

Lire la suite...


Articles en relation