Sélectionner une page

Sécurité : 15 questions à poser à votre CLM

5 janvier 2022


Les contrats sont l’un des actifs les plus précieux pour une entreprise.

A l’heure ou les données sont de plus en plus numérisées, et notamment depuis le début de la crise sanitaire, la sécurité devient un sujet plus important chaque jour.

Voilà pourquoi, avant de choisir une solution de Contract Management, il est primordial de vous assurer de plusieurs choses. D’abord, que l’entreprise qui développe la solution connaisse bien les enjeux et les risques liés à la sécurité et surtout, soit en mesure d’assurer la sécurité de vos données contractuelles.

Dans cet article, on vous donne les 15 questions à poser absolument.

15 questions à poser à votre solution de Contract Management pour vous assurer de la sécurité de vos données contractuelles

1) Pourquoi dois-je me préoccuper de la sécurité de mes contrats ?

Cela tombe sous le sens, certes, mais un bon partenaire CLM devrait pouvoir vous répondre.

Pour expliquer cette notion simplement : vos contrats contiennent des informations sur vos engagements et ceux de vos interlocuteurs. Et notamment : les noms des parties, les obligations de chacun, les prix, les échéances à venir, les pénalités de retard, etc. Ce sont des données cruciales pour votre entreprise, qu’il vous faut protéger. Pour vos contrats, il vous faut donc un véritable coffre fort.

Comme le dit notre CEO Alexandre Grux : « Les contrats sont l’un des actifs les plus précieux des entreprises, c’est pourquoi depuis sa création, Hyperlex a placé la sécurité au cœur de son ADN. »

🔐 Security fact : Pour nous, la sécurité est tellement importante que l’on a décidé de créer toute une série d’articles à ce sujet, et vous pouvez les retrouvez sur la rubrique dédiée de notre blog : sécurité.

via GIPHY

2) Quelles sont les plus grandes menaces actuelles en matière de cybersécurité ?

Selon Les Echos, les autorités françaises s’attendent à environ 400 000 cyber attaques pour les Jeux de 2024 à Paris !

A l’ère des logiciels SaaS, les entreprises sont de plus en plus touchées par des cyber-attaques. Voici le top 3 des attaques les plus répandues.

  • Les ransomwares (ou rançongiciels)
    Les ransomwares sont en quelque sorte la version digitale du racket de rue. Le principe : les données de l’entreprise sont prises en otage par un pirate, et une rançon est demandée en retour. Pour ce faire, un programme informatique malveillant est caché dans la pièce jointe d’un email, et infecte l’appareil où il est ouvert.

Selon la société Sophos, le prix à payer pour recouvrer ses données a atteint 130 000€ en moyenne en 2020.

  • Le spearphishing (ou hameçonnage)
    Il s’agit de ces emails usurpant l’identité d’une entreprise privée ou d’une administration.

Voici quelques conseils pour vous prémunir de ces menaces de sécurité :

  • Méfiez-vous toujours des pièces jointes qui pourraient être contaminées.
  • Passez votre souris sans cliquer au-dessus des liens et faites attention à la qualité de l’orthographe.
  • Si vous avez le moindre doute sur l’expéditeur d’un message, contactez-le par un autre biais.
  • Le piratage ou la fuite de données
    Elle peut être interne ou externe, intentionnelle ou non. Une fuite de données peut être due à l’infiltration du réseau informatique par un pirate… Mais elle peut aussi provenir d’un salarié de l’entreprise ! Plus d’infos ici : quels sont les risques cyber ?

👀 A voir : Comment sécuriser les données juridiques de l’entreprise dans le cloud ?

3) Est-ce que votre entreprise est certifiée ? Si oui, quel périmètre ?

Le moyen le plus simple pour savoir si vos contrats sont vraiment en sécurité est de choisir un partenaire qui a obtenu une certification. Beaucoup d’entreprises ne certifient qu’une partie de leurs activités mais annoncent qu’elles sont certifiées quand même.

Sachez qu’il existe la norme ISO/IEC 27001:2013, une certification internationale pionnière dans le domaine de la sécurité informatique, et son extension relative à la vie privée, ISO 27701:2019. Pour obtenir cette certification, une société doit, entre autres, réaliser un inventaire clair et précis de ce qui est fait dans l’entreprise en termes de sécurité et convenir d’un plan en cas d’attaque.

Et, fait marquant, une fois la certification ISO/IEC 27001:2013 obtenue, trois audits sont réalisés pendant trois ans. A la fin de cette période, la certification peut être renouvelée (ou non). Il s’agit donc d’un travail sur le long terme.

🎉 Hyperlex est certifié ISO/IEC 27001:2013 (et son extension ISO 27701:2019), et nous sommes l’une des premières entreprises du secteur Legaltech à l’avoir obtenue ! 👉 Dans ce communiqué de presse, on vous explique pourquoi. 👉 Dans cet article, on vous donne plein de conseils pour l’obtenir ou en savoir plus : Checklist : ISO/IEC 27001:2013 pour les nuls.

via GIPHY

4) Quelles sont vos obligations de conformité en matière de données sensibles ?

Si le sujet de la sécurité est une priorité pour vous, elle doit l’être aussi au sein de l’équipe de la solution de Contract Management que vous adopterez.

Pour vous donner un exemple concret : comme on vous l’a dit un peu plus haut, la certification ISO/IEC 27701:2019 – obtenue par Hyperlex – témoigne que notre entreprise a mis en place les moyens les plus optimaux pour protéger les données de nos clients et de nos partenaires.

Une procédure stricte est opérée lors de la collaboration avec un nouveau sous-traitant et un certain nombre de points sont vérifiés. Par exemple :

  • Est-il lui-même certifié ISO/IEC 27701:2019 ou SOC 1-2-3 (Service Organization Control) ?
  • Respecte-t-il les consignes de protection des informations personnelles ? Stocke-t-il bien les données dans l’Union Européenne ?
  • Quels sont ses processus et méthodes de traitement des données personnelles ?
🔐 Ce genre de procédure permet un contrôle et un suivi maximal du respect des informations personnelles.

5) Où les données de mes contrats seront-elles hébergées ?

C’est toujours mieux si les données sont hébergées en Union Européenne. Les Etats membres sont soumis au RGPD, qui encadre le traitement des données personnelles et renforce le contrôle par les citoyens de l’utilisation qui peut être faite des données les concernant.

6) Comment les données de mes contrats sont-elles protégées ?

Est-ce que le CLM avec qui vous êtes sur le point de contractualiser chiffre les données de ses clients ? Si oui, de quelle manière ?

Par exemple, chez Hyperlex, tous les documents sont chiffrés, avec une clé unique par document, un système de KMS externalisé et un déchiffrement sur le poste client pour éviter les transferts en déchiffré.

7) Est-ce que les infrastructures de votre entreprise sont certifiées ?

Nous parlons ici de la certification des infrastructures et non de l’entreprise. Il n’est pas rare que les infrastructures des legaltech soient certifiées ISO/IEC 27001:2013, SSAE16 SOC1, SOC2, SOC3.

Sachez que chez Hyperlex, la sécurité et la confidentialité des données de nos clients ne s’arrêtent pas à la sécurité de nos infrastructures. Nous vous en disons plus dans notre page dédiée à la sécurité.

👀 On vous recommande aussi : Tout savoir sur ISO/IEC 27001:2013

8) Êtes-vous conforme au RGPD ?

Le RGPD est obligatoire et directement applicable dans tout État membre de l’Union Européenne.

📍 Bon à savoir : N’hésitez pas à demander à la legaltech que vous allez choisir de vous transmettre sa politique de confidentialité et de traitement des données personnelles, ainsi que la liste des prestataires autorisés avec lesquels elle travaille.

9) Est-ce que vos équipes sont formées en matière de sécurité de l’information et de risques ?

La sécurité est un sujet d’équipe. Chaque salarié de chaque département de l’entreprise doit être engagé et formé.

Chez Hyperlex par exemple, la certification ISO/IEC 27001:2013, engage l’ensemble de l’équipe à connaître la politique de sécurité de l’information, les objectifs, les rôles et les responsabilités de chacun.

via GIPHY

10) Est-ce que des sauvegardes de mes données sont effectuées ?

Il est absolument nécessaire que des sauvegardes (ou des “backups”) de sécurité de vos données soient effectuées régulièrement.

Pourquoi ? Car au-delà des mesures de protection mises en place, vous devez pouvoir récupérer vos données dans l’état dans lequel elles étaient avant d’avoir été perverties ou perdues.

11) En cas d’attaque, quelles sont les mesures mises en place au niveau de ses infrastructures ?

L’infrastructure est comme le squelette des systèmes d’information, composé de serveurs, réseau, logiciels, données. Et c’est ici que commence la sécurité.

Demandez donc à votre partenaire les mesures mises en place au niveau de ses infrastructures. Voici quelques exemples plus précis.

👀 A lire aussi : 7 bonnes pratiques pour maîtriser les risques contractuels 

12) L’architecture est-elle multi-tiers ?

Il s’agit d’une architecture dans laquelle une application est exécutée par plusieurs composants distincts, c’est-à-dire qu’elle est fondée sur des niveaux indépendants les uns des autres. Imaginez des compartiments séparés par des sortes de portes coupe-feu évitant la propagation d’un incendie…

13) Avez-vous mis en place des mesures d’anti-flooding ?

Elles permettent d’éviter les actions qui consistent à envoyer une grande quantité de données obsolètes dans le but de noyer un réseau et de le rendre inutilisable.

14) Y a-t-il un système de prévention des intrusions (IPS) ?

Ce système analyse le trafic réseau, détecte les cyberattaques et contribue à les bloquer.

15) Quels sont les prestataires utilisés par votre partenaire CLM ?

Le CLM de votre choix doit pouvoir vous fournir une liste complète des partenaires avec qui il travaille.

📍 Bon à savoir : lors de l’audit pour obtenir la certification ISO/IEC 27001:2013, les partenaires aussi sont audités au niveau sécurité.

 

Vous souhaitez voir notre solution en action ?

Je demande une démo

 

La sécurité, c’est notre dada, et on écrit beaucoup à ce sujet :