«Mieux appréhender la cybersécurité dans le monde post-Covid»

La crise liée à la pandémie a considérablement contribué à l’accélération de la transformation numérique des organisations et des processus. En mars 2020, du jour au lendemain, des dizaines de milliers d’employés luxembourgeois ont été contraints de poursuivre leur travail depuis leur domicile. Le télétravail est soudainement devenu la norme. Cela a impliqué d’importantes adaptations, d’un point de vue technique d’une part, au niveau du management d’autre part. Dans la perspective d’un retour à une nouvelle normalité, avec la levée des mesures prises dans le cadre de la gestion de la crise, que restera-t-il de ces nouvelles habitudes? Quels sont les challenges liés à la cybersécurité et les nouveaux facteurs de risque à prendre dorénavant en compte? La question était au cœur du dernier épisode d’Arendt We Live et chez Arendt & Medernach, revient sur ces enjeux.

Confiance et surveillance

«Au niveau du management, tout d’abord, un changement considérable s’est opéré, faisant, dans un contexte de télétravail, de la confiance dans les collaborateurs un élément déterminant», commente Astrid Wagner. Cependant, si elle constitue la clé de voûte du succès d’une organisation du travail davantage décentralisée, certaines entreprises ne peuvent pas se permettre le luxe de se baser uniquement sur la confiance, notamment au vu de leur obligation de protéger les données qu’elles traitent. «Dans de nombreux secteurs, notamment au niveau des activités réglementées, mais également de celles impliquant le traitement de données confidentielles ou d’autres données procurant un avantage concurrentiel à une entreprise, il est nécessaire de mettre en place des dispositifs de contrôle des systèmes d’information pour assurer la sécurité de ceux-ci. Dans certains cas, la mise en place de tels dispositifs est qualifiée, du point de vue du droit du travail, de mesure de surveillance des employés à laquelle s’appliquent des règles strictes prévues par le Code du travail et le RGPD.»

La cybersécurité, un enjeu-clé

L’accès à distance aux systèmes d’information de l’entreprise pour permettre le travail à distance, comme le traitement de données professionnelles depuis un environnement privé, a aussi sensiblement augmenté le risque de cyber-incidents ou de violation d’obligation de confidentialité ou en matière de protection des données. «Pour y répondre, les organisations doivent former leurs représentants et le personnel, en commençant par les membres du conseil d’administration et de la direction, pour les sensibiliser aux risques cyber», poursuit Astrid Wagner. Les incidents sont en effet souvent la conséquence d’un acte externe malveillant associé à une erreur humaine ou à un manque de réactions appropriées au sein de l'organisation. «Il devient par ailleurs critique de procéder à une évaluation régulière de la maturité de la sécurité des systèmes informatiques de l’organisation. La gestion des risques en matière de cybersécurité ne relève plus uniquement de l’équipe informatique, mais concerne bien le conseil d’administration, qui est responsable ultimement», précise l’associée.

Pour réduire le risque de violation de données au-delà de la menace cyber, il est aussi important d’adopter des procédures internes, notamment pour éviter que les informations sur papier ne sortent du cadre professionnel. Des solutions pratiques doivent être élaborées pour faciliter l’acceptation de règles établies en la matière par le personnel travaillant à distance, et ce pour minimiser le risque de contournement de ces règles.

La signature électronique au cœur des processus

De nombreuses organisations, dans le contexte de cette crise, ont opté pour de nouvelles solutions dans une démarche de numérisation de leurs processus.

Par exemple, le recours à la signature électronique a contribué à la poursuite des opérations. En la matière, toutefois, de nombreuses questions doivent être considérées, une signature électronique n’ayant pas forcément la même valeur probante qu’une signature manuscrite. «On distingue trois types de signatures électroniques: simple, avancée ou qualifiée. Seule la signature qualifiée a la même valeur qu’une signature manuscrite. Elle est cependant plus coûteuse et plus difficile à intégrer au cœur des processus, avec notamment l’exigence de mettre en œuvre des processus d’identification du signataire en ligne», explique Astrid Wagner. «Dès lors, il y a une réflexion à mener autour des documents et des engagements, toujours au regard des risques qui y sont associés, pour déterminer le niveau de signature adapté.»

Pour des documents externes, relatifs à d’importants engagements financiers ou commerciaux, la signature électronique qualifiée est fortement recommandée. Pour les documents internes ou de faible importance, une signature électronique simple ou avancée peut parfaitement faire l’affaire.

Écoutez le podcast: