Publié le 12/09/2016
Experte en sécurité de l’information et cybersécurité, la société Digitemis est multi-sollicitée. Son rôle : auditer les entreprises et organisations et les accompagner par des recommandations. Y compris sur la protection des données personnelles, pour lesquelles “les entreprises sont à des années lumières de leurs obligations”.
Pour se mettre en conformité, il reste moins de deux ans. Le 25 mai 2018, toutes les entreprises et organisations devront s’être alignées sur le Règlement général sur la protection des données. Ce règlement, adopté en mai 2016 par les états membres de l’Union Européenne, est le nouveau texte de référence. Documents bancaires, de santé, données client, informations sur le personnel, celles transmises aux partenaires et sous-traitants…, toutes les données à caractère personnel sont concernées.
Pour Ludovic de Carcouët, directeur de Digitemis, la protection des données personnelles est parmi les principaux points négligés par les entreprises. “C’est un chantier immense dont on est au tout début puisque les gens ne savent pas la réglementation. Les entreprises sont à des années lumières de leurs obligations Il n’est pas rare de voir des données sur les salariés, comme les bulletins de salaire, accessibles sans aucune garantie de sécurité.”
La protection des données personnelles est l’une des spécialités de Digitemis. La PME vendéenne revendique une position de leader sur le sujet, car premier organisme français à obtenir 4 labels CNIL pour ses procédures d’audit. Protéger ces données est une obligation, c’est aussi un comportement responsable qui peut se transformer en avantage concurrentiel dès lors qu’il “renforce la confiance du client”.
Mais au-delà de ce point particulier, Digitemis se définit plus largement comme étant experte en sécurité de l’information. “Nous aidons les entreprises à identifier leurs vulnérabilités et nous les accompagnons pour y remédier.” La première étape consiste à comprendre le contexte et les besoins : existe-il des données sensibles à protéger, quels sont les échanges avec les clients, partenaires et sous-traitants, quels sont les moyens de protection en place ? Ce qui va de considérations très techniques comme l’étude de l’architecture du système d’information avec éventuellement “des tests d’intrusion pour accéder aux données sensibles”, jusqu’à des échanges sur “les procédures mises en place pour contrôler l’accès aux locaux”.
De là découlent des recommandations. “Il n’existe pas de niveau de sécurité absolu. Tout est fonction des besoins métiers de l’entreprise. Par exemple, dans une société de conseil on pourra très bien travailler sans informatique pendant 24 heures. Alors que dans d’autres secteurs comme la logistique, la moindre coupure d’accès au téléphone ou au système d’information se traduit par des retards de livraison ou des pénalités à payer. Notre rôle, c’est d’émettre des recommandations proportionnées aux enjeux de sécurité de chaque entreprise.”
La suite est de la responsabilité du client, Digitemis ne met pas en œuvre de solutions. “Nous avons le rôle de l’œil extérieur, du tiers de confiance. Nous restons indépendants de l’entreprise et de ses partenaires. C’est ce qui nous permet d’évaluer l’organisation interne au même titre que les prestataires et sous-traitants. Au final, c’est ce qui permet à tous de monter en compétences.”
Améliorer le niveau de sécurité coûte-t-il très cher ? “Pas forcément”, estime Ludovic de Carcouët. “Dans une première phase, un échange à base de questions peut suffire à sensibiliser et faire monter en sécurité. Il s’agit de regarder là où les gens n’ont pas l’habitude de regarder, pour donner les bons réflexes. L’idée, c’est d’aider les entreprises, qui reviennent vers nous lorsqu’elles ont des problèmes plus complexes.”
Digitemis cible les entreprises et organisations de toutes tailles, dont les PME, dans un esprit de service de proximité. Son équipe, qui compte une quinzaine d’ingénieurs, doit faire face à une demande grandissante. Si bien qu’il est prévu à l’avenir de recruter “une dizaine de personnes par an”. L’entreprise recherche des profils juniors et seniors qui ne seront opérationnels qu’après un nécessaire “complément de formation” en interne. “Nous ne sommes pas limités par la demande du marché mais par le rythme des recrutements.”
Plus
Digitemis est membre Images & Réseaux