Menu

Digitalisation, stockage dans le Cloud…comment sécuriser vos contrats ?

Si la digitalisation des documents juridiques est un atout en termes d’efficacité, beaucoup de professionnels se posent la question de leur sécurité.

En effet, est-il bien sûr de stocker des documents sensibles comme les contrats d’une entreprise dans le Cloud ? Voici quelques questions à se poser pour assurer la sécurité de vos données contractuelles dans le Cloud.

how-secure-your-contract

Le Cloud : de quoi s’agit-il ?

Aujourd’hui, de nombreux services digitaux sont accessibles via ce que l’on appelle le “Cloud” : il s’agit tout simplement d’un service disponible en ligne, accessible grâce à une connexion internet. Le Cloud s’oppose aux logiciels en local que les utilisateurs installent sur leur propre ordinateur.

 

Les legaltech, ainsi qu’un certain nombre d’outils pour les entreprises comme les CRM, sont souvent hébergés dans le Cloud. On parle également de Software as a Service (abrégé SaaS) pour désigner ce fonctionnement.

Avantages et risques du cloud

Si les logiciels dans le Cloud sont si populaires, c’est parce que celui-ci présente de nombreux avantages. En particulier :

 

  • Il ne nécessite aucune installation complexe, étant donné que toute l’installation est déjà faite du côté du fournisseur du service : les entreprises clientes n’ont généralement plus qu’à créer un compte.
  • Le Cloud permet d’accéder aux données sur tous les supports et en tout lieu, ce qui facilite grandement le travail à distance (télétravail, collaborateurs sur plusieurs sites).
  • Le partage de documents et la collaboration sont facilités : les boucles de mails interminables où les éléments peuvent se perdre sont de l’histoire ancienne !

 

Enfin, ces outils sont généralement très simples d’utilisation, avec des interfaces intuitives qui ne nécessitent pas de grosses compétences techniques. L’objectif est qu’un maximum de collaborateurs puissent l’utiliser au quotidien, sans difficulté.

 

Comme toute technologie, le Cloud n’est pas sans risques. L’inquiétude la plus fréquente des entreprises concerne la sécurité de leurs données : puisqu’elles ne sont pas stockées sur mon ordinateur personnel, sont-elles bien protégées ?

 

Tout d’abord, il faut savoir qu’une base de données dans le Cloud est paramétrable : les entreprises ne sont pas obligées d’accorder les mêmes droits d’accès à tous leurs collaborateurs. La protection des données dépend donc en grande partie de vos choix ! Sachez également que les technologies SaaS sont encadrées par des normes de sécurité de plus en plus exigeantes.

 

Quoi qu’il en soit, avant de choisir un logiciel dans le Cloud pour stocker et gérer vos contrats, il convient de se poser quelques questions importantes.

5 questions à se poser pour protéger vos données contractuelles dans le cloud

#1 – L’infrastructure est-elle sécurisée ?

L’infrastructure est le nom donné au “squelette” d’un système d’information : cela inclut le serveur, le réseau, les logiciels utilisés, et bien sûr les bases de données. La sécurité des données commence par la sécurité de l’infrastructure de votre logiciel SaaS ; vous pouvez donc demander à votre partenaire :

 

  • S’il existe un système de prévention des intrusions au niveau de son réseau
  • S’il a mis en place des mesures anti-flooding, pour éviter de “noyer” le réseau
  • Si l’architecture est multi-tiers, c’est-à-dire exécutée par plusieurs composants, pour isoler les données et réduire le risque de fuite

 

Tous ces éléments sont importants pour déterminer la résistance d’un service dans le Cloud à d’éventuelles attaques. Ils permettent aussi d’anticiper les risques de fuite ou de perte des données.

#2 – Comment sont réalisées les sauvegardes ?

Les sauvegardes (“back-up” en jargon informatique) sont un élément clé de la protection de vos données. Il s’agit tout simplement d’effectuer des copies régulières de vos données contractuelles, pour avoir une copie de secours en cas de mauvaise manipulation, d’altération ou de perte des données.

 

Avant de vous engager auprès d’une legaltech, il est donc important de connaître sa politique de sauvegarde et de récupération des données. L’idée étant de pouvoir récupérer vos données dans leur état initial, avant une perte ou une corruption. On conseille généralement de vérifier deux points :

  • Le RTO (temps de remise en service après un incident au niveau des données)
  • Le RPO (cycle ou fréquence de sauvegarde)

#3 – Les données sont-elles chiffrées ?

Le chiffrement des données est l’opération qui consiste à les convertir d’un format lisible à un format crypté, à partir d’une clé. Ce chiffrement doit être complété par la protection du protocole, qui empêche toute personne malveillante de lire les données en circulation entre vos ordinateurs et le logiciel SaaS. Par exemple, chez DiliTrust, cette sécurité est assurée par le protocole TLS 1.2 (Transport Layer Security).

 

Quant au chiffrage des données elles-mêmes, il permet, même en cas de fuite, de rendre vos données contractuelles illisibles et parfaitement inutilisables. Chez DiliTrust, le chiffrement des données est présent à toutes les étapes de leur circulation, et réalisé grâce à des clés propres à chaque document. Le service de gestion des clés de chiffrement est hébergé sur une infrastructure à part, ce qui offre une sécurité supplémentaire.

#4 – Comment vais-je gérer les droits d’accès ? 

La sécurité inhérente à votre outil de gestion des contrats ne suffit pas à protéger vos données. Sans une gestion parfaitement sécurisée des droits d’accès aux documents, ceux-ci restent vulnérables.

 

Pour une protection optimale de votre base contractuelle, l’idée est de compartimenter les droits d’accès de sorte qu’aucun collaborateur n’ait accès à des documents dont il n’a pas besoin. Mieux vaut être un peu trop strict sur les droits d’accès au départ, quitte à les élargir au cas par cas si les besoins évoluent !

 

Comme la plupart des logiciels dans le Cloud, DiliTrust permet une gestion fine des autorisations d’accès, par équipe et par utilisateur. Ces droits peuvent être appliqués à toutes les étapes du cycle de vie du contrat, depuis sa génération jusqu’à son suivi. 

#5 – Comment mon partenaire logiciel est-il organisé ?

Enfin, nous recommandons aussi de vous renseigner sur votre partenaire logiciel : comment s’organise-t-il au quotidien pour assurer la sécurité de l’outil ? En pratique, cette question englobe :

  • La fréquence de réalisation des audits
  • L’obtention des certifications
  • Les pratiques opérationnelles de l’entreprise.

 

Plus un éditeur réalise des audits réguliers et complets, et plus il est à jour en termes de tests d’intrusion, plus la sécurité de ses solutions logicielles est garantie. Et bien sûr, cela ne dispense pas de réaliser vos propres audits !

Vous souhaiteriez en savoir plus sur la manière dont nous vous accompagnons en termes de sécurité ? Contactez l’un de nos experts en cliquant ci-dessous !

Ces articles peuvent aussi vous intéresser :