Les contrats sont l’un des actifs les plus précieux d’une entreprise. Ces derniers sont de plus en plus numérisés, notamment avec l’avènement des solutions de contract management. De fait, il est logique de se poser la question de leur sécurité.
Il est donc essentiel de s’assurer de certaines choses avant de choisir une solution de gestion des contrats. Dans cet article, nous listons les 15 questions que vous devriez poser à vos prestataires afin de choisir la solution de gestion des contrats adaptée à votre entreprise.
15 questions à poser à votre solution de gestion des contrats pour garantir la sécurité de vos données contractuelles
1. Pourquoi devrais-je me préoccuper de la sécurité de mes contrats ?
Cette question semble évidente, mais un bon fournisseur de CLM devrait être en mesure d’y répondre.
Noms de parties, des obligations, des prix, des délais, des pénalités… vos contrats contiennent des informations sur les obligations de votre organisation et celles de vos employés. Ces données sont essentielles pour votre entreprise et vous devez les protéger. Il est conseillé que vous utilisiez un coffre-fort numérique.
2. Quelles sont les principales menaces actuelles en matière de cybersécurité ?
Selon le journal Les Échos, les autorités s’attendent à environ 400,000 cyberattaques pendant les Jeux Olympiques de 2024 à Paris.
Aujourd’hui, les entreprises sont de plus en plus ciblées par les cyberattaques. Voici une liste des trois plus courantes :
- Ransomware
On parle de ransomware lorsque les données d’une entreprise sont prises en otage par un pirate informatique et qu’une rançon est demandée. Pour ce faire, un programme malveillant est généralement caché dans la pièce jointe d’un courriel. Une fois ouvert, il attaque l’appareil.
Selon Sophos, le prix de la récupération des données volées a atteint une moyenne de 130,000€ en 2020.
- Spearphishing
Il s’agit de courriels qui usurpent l’identité d’une entreprise privée ou d’une personne et qui sont destinés à une personne ou une organisation spécifique.
Voici quelques conseils pour vous protéger de ces menaces :
- Méfiez-vous toujours des pièces jointes susceptibles d’être infectées.
- Passez votre souris sur les liens pour voir la destination et faites attention à l’orthographe.
- Si vous avez des doutes sur l’expéditeur d’un courriel, contactez-le par un autre canal (par exemple par téléphone).
- Piratage ou fuite de données
Il peut s’agir d’un piratage interne ou externe, intentionnel ou accidentel. Une fuite de données peut être causée par un pirate informatique qui s’infiltre dans le réseau informatique, mais elle peut aussi être le fait d’un employé.
3. Votre entreprise est-elle certifiée ? Si oui, dans quelle mesure ?
Le moyen le plus simple de savoir si vos contrats sont rangés en un endroit sûr est de choisir un prestataire de services certifié. Parmi les normes de sécurité les plus complètes, on note notamment la norme ISO/IEC 27001:2013. C’est une certification internationale dans le domaine de la sécurité informatique, au même titre que la norme ISO 27701:2019 qui s’étend à la protection de la vie privée. Pour obtenir cette certification, une entreprise doit, entre autres, faire un inventaire clair et détaillé de ce qui se fait dans l’entreprise en matière de sécurité et établir un plan en cas de cyberattaque.
Une fois la certification obtenue, trois audits sont réalisés sur une période de trois ans. À l’issue de ces trois audits, la certification peut être renouvelée, ou non, si toutes les normes sont respectées.
✨ DiliTrust est certifié ISO/IEC 27001:2013 et ISO 27701:2019, lisez ce communiqué de presse pour en savoir plus :Confidentialité et sécurité des données :DiliTrust certifié ISO 27001 et ISO 27701.
4. Quelles sont vos normes de conformité concernant les données sensibles ?
Si la sécurité est essentielle pour vous, il doit en être de même pour le prestataire de services de gestion des contrats auquel vous faites appel. Pour vous donner un exemple, la certification ISO mentionnée ci-dessus obtenue par DiliTrust est la preuve que notre entreprise a mis en œuvre les meilleures méthodes pour protéger les données de nos clients et de nos partenaires commerciaux.
Dilitrust suit une procédure stricte lorsqu’elle travaille avec un nouveau sous-traitant et certaines informations sont vérifiées, telles que :
- Sont-ils certifiés ISO/IEC 27701:2019 ou SOC 1-2-3 (Service Organization Control) ?
- Respectent-ils les directives en matière de protection de la vie privée ? Stockent-ils leurs données au sein de l’Union Européenne ?
- Quels sont les processus et les méthodes de l’entreprise en matière de traitement des données personnelles ?
? Ce type de procédure permet un contrôle strict des données personnelles.
5. Où seront hébergées les données de mon contrat ?
Il est toujours préférable que les données soient hébergées au sein de l’Union Européenne, car les États membres de l’UE sont soumis au RGPD, qui réglemente le traitement des données à caractère personnel, et les citoyens ont davantage de contrôle sur l’utilisation de leurs données.
DiliTrust est également présent au Canada où les données sont hébergées localement dans des serveurs hautement sécurisés et conformes aux normes ISO. Dans la région MEA, nos serveurs respectent également les normes de sécurité les plus strictes et sont situés dans plusieurs endroits du Moyen-Orient et de l’Afrique, notamment au Maroc. De plus, les données ne sont pas soumises à la loi américaine CLOUD Act.
6. Comment mes données contractuelles sont-elles protégées ?
Votre fournisseur CLM crypte-t-il les données de ses clients, et si oui, comment ?
DiliTrust crypte tous les documents avec une clé à usage unique pour chaque contrat de sa contrathèque, un système KMS externalisé et un décryptage sur les postes de travail de nos clients pour éviter les transferts décodés.
7. L’infrastructure de votre entreprise est-il certifié ?
Nous parlons de votre infrastructure, et non de votre organisation, il n’est pas rare que les legaltechs aient une ou plusieurs des certifications suivantes : ISO/IEC 27001:2013, SSAE16 SOC1, SOC2, SOC3.
8. Êtes-vous conforme au RGPD ?
Le RGPD est obligatoire et applicable à tous les États membres de l’UE, ou à toutes les entreprises qui traitent ou stockent des informations personnelles de citoyens de l’UE.
? Bon à savoir : n’hésitez pas à demander au prestataire que vous avez choisi de vous transmettre sa politique de confidentialité et de traitement des données personnelles, ainsi que la liste des prestataires agréés avec lesquels il travaille.
9. Vos employés sont-ils formés à la sécurité de l’information et à la gestion des risques ?
Chaque employé devrait être formé sur ces sujets, car la sécurité est une question d’équipe. La certification ISO/IEC 27001:2013 signifie que les membres de l’équipe doivent connaître la politique de sécurité de l’information de l’entreprise, ses objectifs, ainsi que les rôles et responsabilités de chacun.
10. Mes données sont-elles sauvegardées ?
Il est essentiel que des sauvegardes de sécurité de vos données soient effectuées régulièrement. C’est important parce que vous devez pouvoir récupérer vos données dans l’état où elles se trouvaient avant d’être corrompues ou perdues, et c’est aussi une couche supplémentaire de mesures de protection.
11. En cas de cyberattaque, quelles sont les mesures mises en place, et à quel niveau ?
L’infrastructure est comme le squelette des systèmes d’information, composé de serveurs, de réseaux, de logiciels et de données. C’est le point de départ de la sécurité. Demandez à votre fournisseur de services quelles sont les mesures qu’il a mises en place au niveau de l’infrastructure.
Les trois questions suivantes sont des questions spécifiques que vous pouvez poser sur la sécurité de l’infrastructure.
12. L’architecture est-elle multi-tiers ?
Une application est divisée en plusieurs sections afin de pouvoir être modifiée plus facilement au lieu de perturber l’ensemble de l’application, car les sections sont indépendantes les unes des autres. On peut visualiser cela comme des pièces séparées par des portes coupe-feu pour éviter la propagation d’un incendie en cas d’attaque (l’incendie représente une cyber-attaque dans cette visualisation).
13. Avez-vous mis en place des mesures anti-inondation ?
On parle d’inondation lorsque de grandes quantités de données obsolètes sont envoyées pour inonder un réseau et le rendre instable. Votre fournisseur de services doit avoir mis en place des mesures pour éviter ce phénomène.
14. Existe-t-il un système de prévention des intrusions ?
Un système de prévention des intrusions (IPS) est un système qui analyse les réseaux ou les systèmes, détecte les incidents potentiels tels que les cyberattaques et aide à les bloquer.
15. À quels sous-traitants votre fournisseur de CLM fait-il appel ?
Le CLM que vous avez choisi devrait être en mesure de vous fournir une liste complète de tous les sous-traitants avec lesquels il travaille.
✅ Bon à savoir : Pour obtenir la certification ISO/IEC 27001:2013, les sous-traitants d’une entreprise sont également audités au niveau de la sécurité.
Vous souhaitez en savoir plus sur notre logiciel de gestion contractuelle, contactez-nous !
? Ce contenu peut aussi vous intéresser :