Services juridiques et sécurité : une collaboration essentielle
Les services juridiques et de sécurité partagent l’objectif commun de protéger une entreprise contre tout préjudice. Mais même si les deux ont comme mission de veiller à la sécurité et à la conformité, les équipes respectives jouent des rôles distincts dans la réalisation de ces objectifs. Grâce à une collaboration étroite et à une communication régulière, chaque équipe peut aider l’autre à optimiser la sécurité et la conformité dans l’ensemble de l’entreprise. Dans certaines entreprises, le service juridique élabore des politiques de sécurité et/ou de traitement des données à l’intention des employés, afin de garantir un traitement approprié des informations. Dans d’autres entreprises, ces politiques peuvent être mises au point par le service de sécurité en concertation avec le service juridique. Ces politiques aident à définir les informations sensibles, ce qui constitue une activité autorisée et le mécanisme par lequel répondre aux exigences de conformité contractuelle, réglementaire et interne. Le service juridique et la sécurité collaborent souvent avec les ressources humaines pour tenir les employés informés de ces politiques.
Le défi de la prévention : empêcher les activités non-autorisées
Les équipes de sécurité sont chargées de détecter et de maîtriser toute une série de menaces, qu’elles proviennent de l’extérieur ou de l’intérieur de l’entreprise. Alors que les menaces externes sont généralement identifiées au niveau du réseau, des attaques de plus en plus sophistiquées comme l’hameçonnage peuvent être mieux traitées dans une application. Les menaces internes et les activités non autorisées peuvent également être particulièrement difficiles à détecter, car elles peuvent être intentionnelles, malveillantes ou involontaires, faisant suite à une négligence ou à une erreur humaine anodine. Avant d’attirer l’attention sur l’urgence de s’attaquer à ces menaces, l’équipe de sécurité doit d’abord définir ce qui constitue une activité suspecte ou non autorisée.
Risques inhérents aux menaces internes
Les violations attribuées à une activité non autorisée, comme la négligence de la part d’un employé ou d’un sous-traitant, peuvent être tout aussi préjudiciables, sinon plus, que les violations malveillantes. Quelle que soit l’intention derrière la violation ou l’origine de celle-ci, le risque auquel s’expose une entreprise est tout aussi grave. L’édition 2020 de l’étude « Cost of a Data Breach » menée par l’institut Ponemon a révélé que: – 7% des violations malveillantes trouvent leur source dans des actes commis par des employés en place – 19% des violations malveillantes sont attribuées à des identifiants volés ou compromis – 23% de l’ensemble des violations sont attribuées à une erreur humaine comme la négligence de la part d’un employé ou d’un sous-traitant Ces chiffres démontrent que les menaces proviennent souvent de l’intérieur d’une entreprise, et non seulement de « mauvais joueurs » externes. En outre, l’étude de Ponemon semble révéler que même les menaces externes peuvent être attribuées à une activité non autorisée d’un employé ou être exacerbées par celle-ci.
Comment le service juridique oriente-t-il la politique de sécurité?
Lors de la mise en place d’une politique de sécurité efficace, le service juridique peut évaluer les forces et les faiblesses de l’entreprise, en s’appuyant sur les données provenant directement du service de sécurité, afin de déterminer le risque. Les politiques de sécurité et de traitement des données combinent les obligations de conformité à l’égard des lois sur la confidentialité des données, des exigences réglementaires, des engagements contractuels et des procédures opérationnelles pertinentes. D’abord et avant tout, des politiques peuvent être élaborées pour exonérer l’entreprise de toute responsabilité. Cependant, des politiques efficaces devraient également inclure des directives globales sur la sécurité des données et des mesures normatives comme les capacités d’intervention en matière d’audit, de rapport et d’incidents. Ces politiques donnent le ton des priorités en matière de sécurité au sein d’une entreprise et permettent d’identifier les mécanismes par lesquels les informations sensibles ou confidentielles doivent être gérées. Ce cadre peut également aider l’équipe de sécurité à déployer des ressources de manière stratégique afin de protéger l’entreprise en fonction de la source la plus probable des menaces. Par exemple, si une politique de sécurité identifie un risque associé aux données stockées dans une application tierce, l’équipe de sécurité peut consacrer des ressources supplémentaires au suivi des activités sur cette application afin de détecter toute activité non autorisée.
Les avantages d’une collaboration efficace entre les services de sécurité et juridiques
Le service de sécurité relève le défi quotidien de la protection d’une entreprise en détectant et en examinant les menaces potentielles et en répondant à celles-ci. Ses équipes protègent une entreprise en évaluant les menaces internes et externes, et en s’attaquant à ces menaces le plus rapidement possible. Le service juridique contribue à la protection de l’entreprise en conseillant les responsables des politiques, de sorte que les équipes compétentes connaissent les politiques de sécurité et règlementaires. Les équipes juridiques jouent également un rôle essentiel au sein d’une entreprise lorsqu’il s’agit de l’application des politiques de sécurité des données et de conformité à l’échelle de l’entreprise. Les documents comme les guides pratiques et les politiques de sécurité des données sont d’une importance cruciale pour que les services de sécurité et juridique sachent clairement ce qui constitue une activité non autorisée et ce qui peut être considéré comme une violation. Lorsqu’une entreprise veut avoir recours à des applications tierces qui seront utilisées pour traiter ou stocker des informations sensibles ou exclusives, les équipes juridiques et de sécurité peuvent travailler de concert pour s’assurer que l’application répond à la fois aux normes de conformité et de sécurité.
Ce sont toutes ces questions de sécurité que DocuSign prend en compte quotidiennement dans le fonctionnement de son entreprise et dans le développement de ces solutions pour garantir une sécurité totale de ses logiciels.
