2020 et 2021 ont été inédites à plus d’un égard et le risque informatique n’a pas fait exception. Incendie accidentel d’un hébergeur européen qui paralyse les serveurs de nombreuses entreprises, avec des conséquences financières importantes, explosion des cyberattaques favorisées par les nouvelles pratiques du travail à distance et le déploiement éclair des transformations digitales… : c’est dans ce contexte inédit que la sécurité informatique, qui concerne autant les infrastructures que les données, est devenue un sujet prioritaire et sensible pour les entreprises et leur direction de la communication, qui se battent sur le front des contenus.
En pleine transformation digitale, les experts en relations presse et publics gèrent une quantité astronomique de données rich media dont ils diversifient les formats, avec pour objectif de se comporter comme des médias. Ils se dotent le plus souvent de solutions globales pour gérer de bout en bout les tâches et se tournent la plupart du temps vers des solutions Saas qui mettent à leur disposition les dernières innovations, les exonèrent des contraintes liées à la maintenance, à l’installation et à l’hébergement et leur offrent gain de temps et optimisation des coûts.
Alors avant de confier des données précieuses à un partenaire technologique sur une longue durée, mieux vaut s’assurer de sa fiabilité et de la solidité de ses infrastructures. Sans compter que les directions de communication devront convaincre leur DSI du bienfondé de leur choix, DSI dont les exigences se multiplient et les standards de sécurité se renforcent.
Identifier les standards de sécurité
Pour identifier les standards de sécurité de la future mewsroom, il faudra s’assurer du périmètre commercial et technologique du spécialiste. Combien gère-t-il de plateformes ? Combien de données hébergent-ils ? Quels types de clients lui confient leurs données ? Si l’éditeur collabore avec des grandes entreprises dans l’énergie, l’armement ou la santé, avec des leaders sur leur marché ou mieux, avec des ministères publics, il y a de grandes chances qu’il ait passé l’épreuve du feu et répondu aux cahiers des charges les plus orthodoxes.
Pour mieux s’en convaincre, il faudra veiller à ce que ses process répondent aux normes de sécurité en vigueur et qu’ils aient obtenu des certifications. Et comme il existe une longue série d’indicateurs (ISO 27 001, ISO 27 701, ISO 27 002, ISO 27 017, ISO 27 018…), un point avec la DSI est vivement conseillé. Dans tous les cas, elle mettra probablement l’éditeur sur le grill - avant de lui confier quoique ce soit - en lui faisant passer une batterie d’audits de contrôle et de sécurité logicielles ou matérielles.
Cellule de crise
Tout spécialiste Saas sérieux met la cybersécurité au rang de priorité. Maintenir la disponibilité des plateformes et des contenus en cas de panne, de surcharge d’activités, de piratage informatique ou de tout autre incident est consubstantiel à son offre de produits et services. Il a donc logiquement mis sur pied une cellule de crise et applique avec son équipe d’ingénieurs expérimentés, des mesures préventives qui protègent les infrastructures et les données.
Lors d’un incident, le plan de reprise d’activité (PRA) permet un retour rapide à la normal des activités et des services. Il s’agit d’un plan complet qui comprend le plus souvent une cellule de crise, une évaluation des dommages puis le déclenchement d’actions de réparations relatives aux sites, aux serveurs, aux bases de données et à l’hébergement. Vient ensuite le temps d’un audit de reprise d’activité et la transmission d’un rapport détaillé. Le partenaire technologique doit aussi assurer la sécurité des réseaux, en vérifiant régulièrement l’absence de failles de sécurité de la plateforme et en procédant à des tests d’intrusions réguliers.
Il doit pouvoir garantir une haute disponibilité de services en mettant en place une réplication de son infrastructure avec des serveurs répartis sur plusieurs sites. Cette mesure préventive permet de basculer automatiquement le trafic en cas d’incident.
Sécurité des accès
L’éditeur se doit bien sûr d’assurer la sécurité des données : mettre en place une solution de détection et de filtrage automatique des flux dangereux et des attaques informatiques, assurer la sauvegarde et la restauration des données plusieurs fois par jour et vérifier et tester régulièrement l’intégrité des sauvegardes et les processus de restauration.
Les plus innovants d’entre eux utilisent même les technologies comme la blockchain. Les crises réputationnelles des entreprises survenues depuis 2010 et la sophistication des technologies de falsification ont révélé l’importance de transmettre des informations infalsifiables aux parties prenantes. La blockchain constitue une solution sûre et abordable qui permet d’authentifier et de rendre incorruptibles les communiqués de presse et autres documents. En un seul clic, l’intégrité, la source et la date des communiqués sont assurées.
Dans le même ordre d’idée, la plateforme doit pouvoir assurer la sécurité des accès : filtrer l’accès à tout ou partie des contenus en gérant les identités. Elle doit pouvoir proposer une authentification unique (Single Sign On) ou une double authentification. Enfin, il faudra prendre les devants et demander à l’éditeur de s’engager à restituer les données de façon intégrale et sans altération à la fin du contrat. Ca s’appelle la réversibilité.
Et je ne serais pas exhaustif si je n’invitais pas les directions de la communication à confier leurs précieuses données à des champions européens du cloud et à leurs serveurs de proximité. Nous sommes tous concernés par l’enjeu de la souveraineté numérique pour ne pas dépendre d’organisations et d’opérateurs régis par des lois qui nous échappent.
