La sécurité de l’information représente de nos jours un enjeu majeur qui demande une attention soutenue et des politiques claires afin d’en assurer une application adéquate. En elle-même, la sécurité et les pratiques qui y sont associées peuvent être représentées sous de nombreux aspects. Nous retiendrons ici, principalement, ceux qui touchent la gestion des documents dans votre organisation. 

Si l’information qui circule dans vos organisations est devenue un enjeu important, c’est bien à cause de la valeur qui lui est attribuée. Par vous, par vos usagers, par vos partenaires, vos clients, par tous ceux qui s’attendent à ce que vous l’utilisiez à bon escient, à ce que vous la protégiez. 

Factures, contrats, dossiers clients, documents de service ou stratégiques circulent désormais presque exclusivement sous forme numérique. D’une main, cette évolution apporte une agilité indéniable, mais de l’autre, elle expose vos documents à de nombreux autres risques. Dans ce contexte, la sécurité accorée au traitement de vos documents ne peut plus être envisagée comme une simple couche technique ajoutée à la fin de votre projet uniquement par le contrôle assuré par vos plateformes informatiques. Elle doit être pensée comme une composante inhérente, attachée aux nombreux choix qui se font lors de la production de vos documents électroniques. 

Pour y voir plus clair, une des idées reçues qui vous auriez intérêt à abandonner est celle qui consiste à croire que la sécurité se limite au contrôle des accès. Bien qu’il soit essentiel de s’assurer que seules les bonnes personnes peuvent consulter ou modifier un document, cela ne représente qu’une partie de l’équation. La sécurité commence bien en amont, dès la conception des processus documentaires. Comprendre où les documents sont créés, comment ils circulent, qui les utilise et à quel moment permet d’identifier les points de vulnérabilité et d’y répondre de manière cohérente. 

Dans un environnement de gestion électronique des documents, la notion de droits d’accès doit être étroitement liée aux rôles et aux responsabilités des utilisateurs. Par une approche trop permissive, adoptée par souci de simplicité ou par une confiance de bon aloi, vous vous exposez à des risques tels que la fuite d’informations ou encore les modifications ou destructions de documents non autorisées. Bien entendu, l’inverse peut s’avérer aussi impactant, avec une efficacité opérationnelle amoindrie ou, par exemple, des pratiques de contournement risquées. Comme dans tout exercice du même genre, trouver le juste équilibre nécessite une bonne compréhension des besoins de vos utilisateurs et une collaboration étroite entre les équipes opérationnelles et les responsables de la gouvernance documentaire. 

Pour ajouter à ces règles de base, vous pouvez envisager l’ajout de pratiques permettant la traçabilité des accès aux documents. Ce qui constitue un autre levier essentiel permettant d’améliorer la sécurité de vos systèmes en apportant des informations qui vous responsabiliser vos utilisateurs. Savoir qui a consulté un document, qui l’a modifié et à quel moment va s’avérer aussi utile lorsqu’il est temps de retracer l’historique d’un incident de sécurité. Ainsi, vos journaux d’audit vous permettront de renforcer la confiance de tous vos utilisateurs tout en facilitant la détection d’anomalies. Ils vous permettront aussi de répondre plus efficacement aux exigences de conformité et aux demandes de vérification internes ou externes. 

Pour faciliter la protection de vos informations, vous pouvez aussi envisager une plus grande maitrise de leur cycle de vie. Par exemple, la conservation indéfinie de documents sensibles augmente inutilement vos risques. Ainsi, l’application de votre politique de conservation par l’application de votre calendrier de conservation va contribuer à limiter cette exposition tout en vous assurant de respecter vos obligations légales. Dans ce sens, cet exercice constitue une pratique de sécurité à part entière. D’un point de vue plus technique, cet exercice va aussi reposer sur de saines pratiques propres à la plupart des plateformes de gestion de contenu : chiffrement des données, sauvegardes régulières, etc. 

Pour pallier à toutes ces pratiques, et en particulier celles qui touchent vos utilisateurs, il importe de ne pas oublier que votre sécurité est avant tout une affaire de culture organisationnelle. Quelles que soit les moyens techniques que vous mettrez en place, si vous ne les complétez pas par une plus grande sensibilisation des utilisateurs aux enjeux de sécurité, si vous ne leur expliquez pas les raisons qu’il y a derrière certaines règles, si vous ne misez pas sur une formation continue qui les impliquera dans la protection de vos décision, vous ne pourrez ni favoriser l’adhésion de vos utilisateurs ni réduire les comportements à risque. Il faut se souvenir que dans de nombreux cas, les incidents de sécurité trouvent leur origine dans de simples gestes, évitables. 

Enfin, vous devez vous assurer que la sécurité n’est jamais un état final. Les menaces évoluent sans cesse, tout comme les technologies et les pratiques en la matière. Assurer une gestion électronique des documents sécurisée repose donc sur une démarche d’amélioration continue qui se maintiendra par des évaluations régulières auprès des utilisateurs, des ajustements et de mises à jour constantes dans vos pratiques. 

La sécurité doit demeurer au centre de vos processus documentaires. En soutenant de façon continue des mesures qui renforcent la sécurité de vos documents, vous envoyez un message clair autant à votre organisation qu’à vos partenaires : l’information qui vous est confiée sera traitée avec rigueur, professionnalisme et respect. Il s’agit là d’un enjeu qui ne peut que vous démarquer dans un monde où la confiance envers les partenaires numériques est devenue un avantage concurrentiel, une gage d’une collaboration réussie, une responsabilité stratégique qui doit répondre aux politiques qui encadrent votre organisation, aux principes de votre gouvernance documentaire.

Avis légal : Nos articles sont présentés en tant qu’information générale. Il ne s’agit pas d’avis juridiques, d’avis concernant un domaine ou une profession réglementée. Nos articles sont présentés uniquement en tant que source d’information générale et moyens de vulgariser les domaines de connaissance qui touchent l’ensemble de nos services. S’il y a lieu, vous êtes invités à consulter la législation pertinente et les professionnels qui y sont associés si vous avez l’intention d’utiliser l’information contenue dans nos pages.