Yellow security lock connecting process to seven purple blocks

1re couche — Sécurité de l’information et des procédures

La transformation numérique exige l’intégration de technologies numériques dans tous les secteurs de votre entreprise, laquelle change radicalement la façon dont vous créez de la valeur et dont vous l’offrez à vos clients. Cette transformation entraîne également un changement de culture qui demande aux employés de s’adapter à des milieux de travail plus dispersés ainsi que d’adopter de nouvelles procédures qui peuvent leur permettre d’être plus productifs, lorsqu’ils travaillent au bureau ou à la maison. Les dirigeants d’entreprise doivent s’adapter et bien connaître les risques à l’égard de la sécurité des procédures et des données.

Télécharger le guide complet

Gouvernance de l’information

De mauvaises pratiques en matière de gestion de l’information peuvent exposer une entreprise à de multiples risques qui peuvent mener à d’importantes pénalités financières et porter atteinte à sa réputation. Comprendre quels renseignements et quelles données vous devez conserver et la façon dont vous pouvez améliorer leur gestion réduit ces risques et vous prépare aux vérifications minutieuses.

Les services de sécurité liés à la gouvernance de l’information soutiennent l’établissement et le maintien constant de la confidentialité, de l’intégrité et de la disponibilité de l’information. Ces services ciblés aident les organisations à respecter les politiques de sécurité et à atteindre la conformité à l’égard de diverses réglementations fédérales, provinciales et municipales ainsi que divers règlements de l’industrie, en plus de leur donner la capacité d’effectuer des vérifications et de prouver leur conformité d’une manière efficace.

Toute transaction numérique entre une entreprise et un client laisse une trace de données. Alors que certaines données sont hautement confidentielles et nécessitent des mesures de sécurité, de confidentialité et de contrôle de la découverte, d’autres, que l’on nomme les données redondantes, obsolètes ou insignifiantes (ROT), n’ont aucune valeur et occupent de l’espace. On estime que les données ROT comptent pour, au minimum, 25 à 30 % des données d’entreprise. Certaines sources estiment que ce pourcentage est beaucoup plus élevé.

Connaître l’information que vous possédez et l’endroit où elle se trouve est la première étape essentielle à la sécurité de l’information. Assurer la protection des données confidentielles, comme l’information personnelle et les renseignements de l’industrie de carte de paiement (PCI) est essentiel pour limiter les risques.

Plus de 90 % des données ne sont pas structurées

Les données non structurées sont des renseignements n’ayant pas été organisés dans une base de données traditionnelle et structurée, ce qui signifie qu’ils sont inaccessibles, qu’ils ne font pas l’objet d’un suivi et qu’ils ne peuvent être utilisés à titre d’information d’affaires. Si vous ne gérez pas votre répertoire de données, dont la plupart sont non structurées, vous risquez de stocker des volumes élevés de données ROT, vous exposez votre organisation à des risques et la rendez vulnérable aux brèches.

Les données non structurées sont un important facteur pouvant entraîner des atteintes à la sécurité, des violations à la vie privée, des coûts élevés en matière de TI ainsi que de pénalités liées à la non-conformité. Lorsqu’on pense à la cybersécurité, il faut savoir que les données non structurées sont souvent des cibles faciles pour les cybercriminels qui tentent d’accéder plus profondément aux systèmes. Ces derniers cherchent des renseignements monétisables comme des noms, des adresses, des dates de naissance, des numéros d’assurance sociale, des mots de passe, des numéros de cartes de crédit, des données bancaires ou des contrats. Malheureusement, les données confidentielles se trouvent souvent au sein même de l’infrastructure, ce qui complexifie leur suivi et leur protection.

Voici quatre domaines clés d’amélioration en matière de gestion des données et de gouvernance de l’information :

1 – Solutions de découverte de données

Les solutions de découverte de données automatisée sont une façon sécuritaire et efficace d’identifier et de localiser les propriétés et les permissions associées aux données confidentielles sur une quantité illimitée de terminaux. Vous pouvez protéger votre organisation en réduisant les actifs de données ROT, en gérant de manière proactive le cycle de vie de vos données et en veillant au respect des réglementations de confidentialité. La découverte des données répare également les données en les chiffrant, en les archivant ou en les censurant, en contrôlant leur accès ou en les déplaçant vers des emplacements sécurisés.

2 – Gestion du cycle de vie des données

L’objectif de cette pratique exemplaire en matière de sécurité est de limiter le risque auquel une organisation est exposée grâce à la gestion des données, y compris les données confidentielles et l’information précieuse, pendant toute leur durée de vie. Les équipes de services professionnels et de services gérés de Ricoh peuvent vous aider à toutes les étapes de cette procédure.

3 – Analyse de fichiers

La nature de vos données est aussi variée que celle de votre entreprise. Le manque de connaissance à l’égard des données que vous possédez nuit à votre responsabilité à l’égard de leur protection et vous empêche de profiter des avantages qu’elles pourraient vous apporter. En analysant automatiquement vos répertoires de fichiers et vos systèmes de courriel, vous pouvez identifier les données précieuses et confidentielles et, ainsi, prendre les mesures nécessaires. Une analyse de fichiers rigoureuse n’est pas que ponctuelle, afin de respecter les pratiques exemplaires, elle doit être incorporée aux flux de travaux en permanence.

4 – Classification des données

La classification des données fait appel à une technologie automatisée fondée sur l’intelligence artificielle pour catégoriser ou indexer vos documents dans le but de faciliter l’extraction, l’exportation et la protection des données ainsi que l’accès à ces dernières. La mise en œuvre d’un système de classification des données renforce la sécurité et contribue au respect des politiques. Un tel système peut également transformer les données générées depuis divers flux de travaux physiques et numériques en information permettant de prendre de meilleures décisions, d’offrir un service à la clientèle plus réceptif et de mener des activités efficaces. Puisque les spécialistes de la sécurité et des procédures de Ricoh ont une compréhension approfondie de l’information générée par les flux de travaux numériques et par les flux d’impression ainsi que de l’archivage et de la sécurité des courriels, il est possible d’adopter l’approche appropriée dans la classification de vos données.

Automatisation des transactions et des procédures

La plupart des transactions et des processus d’affaires suivent essentiellement le même chemin. Nous recueillons ou saisissons l’information, nous la stockons, la gérons et la partageons, ou nous collaborons grâce à elle, pour ensuite l’archiver ou la détruire.

Alors que les façons dont nous communiquons, collaborons et créons évoluent, le besoin de solutions simples, sécuritaires et durables se manifeste de plus en plus. Nos activités principales — obtenir, créer, saisir et gérer de l’information — sont essentielles à notre succès et doivent, par conséquent, être protégées contre les menaces.

Les solutions de procédures d’affaires automatisées rationalisent la façon dont l’information se déplace et circule dans votre entreprise, ce qui est particulièrement important au sein des milieux de travail hybrides et pour les travailleurs à distance qui ont besoin d’un accès sécurisé partout.

L’automatisation robotisée des processus (ARP) fournit aux organisations une main-d’œuvre virtuelle ou des robots qui s’attaquent aux tâches répétitives dans le but d’accélérer les méthodes de travail. Les outils d’ARP possèdent leurs propres normes de sécurité comportant des mesures de chiffrement pour entreprise, l’accès fondé sur des rôles et des permissions, l’authentification au moyen d’Active Directory, le chiffrement des bases de données et bien plus encore.

L’information entrante, comme les courriels, le courrier, les formulaires soumis virtuellement, les numérisations de document et les données issues du commerce électronique, doit être reçue et traitée de manière sécuritaire. En intégrant cette information aux flux de travaux automatisés et sécurisés, vous pouvez garantir que vos données sont en sécurité et contribuer à la conformité et à la gouvernance de l’information.

woman during her workflow on a desktop computer

Voici certaines des procédures communes où les plateformes commerciales intelligentes comme les applications de saisie de données ou de flux de travaux peuvent être utiles :

Traitement des factures
Traitement des prêts
Gestion des réclamations
Orientation des ressources humaines
Formulaires et dossiers de patients
Dossiers et relevés de notes d’étudiants
Demande d’entretien et de ventes

L’information sortante est soumise aux mêmes exigences en matière de sécurité et de confidentialité. Les organisations sont responsables de déterminer si l’information qu’elles produisent et distribuent doit être chiffrée ou suivie ou encore si son accès doit être limité par une authentification utilisateur.

Les dirigeants d’entreprise doivent tenir compte des procédures suivantes :

Comptes créditeurs
Signatures électroniques sécurisées
Procédures de courrier
Communications destinées aux clients

L’automatisation des procédures ouvre de nouvelles possibilités quant à la façon dont les gens travaillent et offrent de nombreux avantages, mais les données numérisées exigent une protection particulière dès leur naissance et pendant toute leur durée de vie. Les documents papier numérisés, les télécopies, les images saisies et toutes les autres données entrent dans les systèmes de votre organisation par différents moyens, vous devez donc choisir judicieusement la façon dont vous protégez ces précieux renseignements.

Saisie sécuritaire et documents numérisés

L’automatisation, la classification, l’extraction et l’exportation des données peuvent accélérer le flux d’information et, ainsi, faciliter leur accès aux personnes en ayant besoin. Le contrôle et la gouvernance des accès à l’information, en particulier pour l’information confidentielle au format numérique, exigent de redoutables capacités de sécurité sur de multiples points de contact.

Les manquements en matière de protection des données confidentielles, comme l’information personnelle, l’information exclusive, les propriétés intellectuelles ou les renseignements fiduciaires, peuvent mener à de lourdes amendes. Toutefois, pour que de telles données non structurées puissent être protégées, elles doivent être transformées en données structurées exploitables. Découvrons comment la saisie intelligente et les solutions de formulaires électroniques sécurisés peuvent protéger vos précieuses données.

Sheets of paper with charts on it alongs side a digitized version on a tablet

Procédure de saisie intelligente de document

Les solutions de saisie intelligente convertissent les documents dans un format sécurisé et structuré afin que les données puissent être exportées dans toute application ou tout flux de travaux ou répertoire, comme les systèmes de planification des ressources d’entreprise (PRE), de gestion de contenu d’entreprise (GCE), de gestion des relations avec les clients (CRM), d’automatisation robotisée des processus (ARP), d’analyse ou de secteur d’activités ou encore des plateformes d’intégration en tant que service (iPaaS).

Les documents doivent d’abord être numérisés ou passer au format numérique. Au cours du processus de numérisation, des méthodes d’authentification veillent à ce que les utilisateurs et les administrateurs puissent verrouiller l’accès à certaines procédures et même limiter ce que les utilisateurs peuvent voir, dans le but d’empêcher l'utilisation inappropriée. Il est également possible de protéger les fichiers convertis au moyen de paramètres de permissions et de contrôle des mots de passe.

La majorité des solutions de saisie intelligente ne stockent pas les données, elles acheminent simplement les données transformées numériquement à d’autres applications ou répertoires.Puisque l’information peut être compromise si elle est interceptée, des mesures de sécurité sont mises en place dans le but de la protéger. Des services en nuage font également appel à des mesures de chiffrement, de déchiffrement et d’authentification intégrées ainsi qu’au protocole de sécurité de la couche de transport (TLS) dans le cadre des transmissions.

Formulaires électroniques sécurisés

Les formulaires électroniques sont une manière cohérente de soumettre de l’information dans un système et peuvent être une solution de rechange aux approches faisant appel au courriel ou au papier. Toutefois, des formulaires électroniques mal codés ou mal protégés peuvent entraîner des risques en matière de sécurité.

En effet, un formulaire n’ayant pas été proprement sécurisé peut servir de passerelle à de l’information falsifiée ou faciliter les tentatives d’introduction de code malveillant. Des logiciels de création de formulaires intelligents peuvent accomplir le travail difficile à votre place et en arrière-plan, notamment la création de formulaires adéquats incluant des fonctions comme des champs de signature électronique, des services de location, des contrôles d’accès, la gestion des pièces jointes et, plus particulièrement, la gestion des flux de travaux. Surveillez et analysez vos flux de travaux basés sur les formulaires en obtenant un suivi complet des procédures essentielles en plus d’approuver ou de rejeter les soumissions de formulaire avant qu’elles poursuivent leur chemin.

Comment pouvez-vous y arriver tout en vous assurant que vos données sont protégées contre les menaces externes, les brèches de sécurité internes (accidentelles ou délibérées), les pertes de données ou les violations de conformité?

Solutions et services de gestion de documents

Les solutions de gestion de documents offrent bien plus qu’un espace de stockage sécurisé. Les contrôles d’accès restreignent l’utilisation aux personnes en ayant l’autorisation et contrôlent les permissions des personnes pouvant afficher, partager ou mettre à jour certains documents. Le suivi des activités des documents vous permet de savoir qui consulte et utilise vos données.

Les pistes de vérification fournissent un registre des activités et assurent la préservation jusqu’au niveau du document. Grâce à des politiques portant sur la rétention et le versionnage, vous pouvez veiller à ce que les documents soient gérés conformément aux exigences financières ou légales ou à d’autres types d’exigences. Que la solution de gestion des documents soit offerte en tant que service (comme DocuWare) ou déployée sur un site, les fichiers stockés sont protégés lorsqu’ils sont au repos, en transmission ou au moment où quelqu’un y accède. Le tout est accompli grâce au chiffrement, à la transmission sécurisée et à diverses options de contrôle des fichiers.

Team members in front of business printer

Contrôle de la production d’impression

Les imprimantes multifonctions favorisent la production efficace pour de multiples utilisateurs en plus de leur permettre de protéger l’information imprimée. Que la tâche d’impression soit transmise depuis un ordinateur ou un appareil mobile, l’impression d’information confidentielle est contrôlée par une personne autorisée. De plus, la facturation et le suivi complet des coûts permettent un contrôle exhaustif des comportements des utilisateurs et offrent une manière d’identifier les tendances inhabituelles et les abus.

Relâchement sécuritaire de documents

L’intégration du relâchement sécuritaire de documents permet d’empêcher que l’information confidentielle imprimée sur des serveurs centraux ou des services en nuage soit récupérée par erreur ou par des personnes cherchant à la voler. Plutôt que d’être transmise directement à un appareil, les tâches d’impression sont chiffrées et conservées dans la file d’attente d’impression d’où elles proviennent.

Ainsi, l’utilisateur peut uniquement relâcher l’impression lorsqu’il se trouve devant l’appareil de son choix et après s’être authentifié. La file d’attente d’impression peut être sur le site ou en nuage, et les données d’impression peuvent être transmises au moyen d’une connexion Web et être chiffrées tout au long de leur transit.

closeup of person holding a mobile phone

Impression mobile

Compte tenu de l’évolution des comportements de la main-d’œuvre, la capacité d’imprimer à partir d’un appareil mobile est maintenant essentielle dans de nombreuses organisations. Cette capacité exige de réfléchir à la fois aux procédures et aux infrastructures technologiques. L’une des procédures pouvant être mises en place, le relâchement des impressions par authentification, permet aux utilisateurs d’empêcher que les renseignements confidentiels soient laissés sans surveillance dans une imprimante en exigeant qu’ils s’authentifient au moyen d’un appareil mobile.

L’imprimante est sélectionnée sur l’appareil mobile, et l’impression est produite lorsqu’une personne est présente pour la relâcher et pour récupérer l’information de manière sécuritaire. Pour ce qui est de l’infrastructure, il est possible de protéger le flux des données d’impression et de gérer les procédures d’impression mobile en choisissant parmi diverses méthodes de déploiement selon les politiques de sécurité. Ces méthodes peuvent impliquer des serveurs d’impression mobile sur site ou des plateformes d’impression mobile en nuage. Les activités menées à partir d’appareils mobiles peuvent faire l’objet d’un suivi et de rapports détaillés sur les utilisateurs, de plus, les appareils d’impression traditionnelle permettent de faire un suivi des impressions. Il est également possible de gérer les appareils mobiles.

Authentification et utilisation

La prévention de la mauvaise utilisation des ressources réduit les coûts d’exploitation, restreint l’activité des utilisateurs dans le but de renforcer leur imputabilité et fournit des renseignements, au moyen d’analyses, pour repérer les irrégularités.

Les règles d’impression peuvent limiter le nombre de pages pouvant être imprimées sur un appareil, restreindre l’utilisation de la couleur, imposer l’option recto verso, limiter l’accès à certains paramètres et bien plus encore. Des limites de comptes budgétaires pour les copies et les impressions peuvent être établies par les utilisateurs et elles comprennent le suivi des activités effectuées directement sur une imprimante multifonction.

Puisque les utilisateurs doivent s’authentifier pour imprimer, les règles d’impression que vous établissez sont automatiquement appliquées et l’activité est réattribuée à l’utilisateur. Vous pouvez lier l’impression, la numérisation et la télécopie de certains documents à un client ou un cas précis aux fins de facturation, ce qui permet d’obtenir des rapports d’activités détaillés à l’égard d’un projet ou d’un sujet confidentiel.

Collaboration et partage sécurisés

Le partage et la collaboration peuvent inclure l’envoi et la réception d’information. Ces activités peuvent dépendre de plusieurs systèmes de validation de l’information ou de processus impliquant une interaction humaine comme ceux mentionnés ci-dessus. L’information peut servir à l’interne, à l’externe, ou les deux, et peut également être intégrée au sein d’un système collaboratif comme Microsoft Teams. Les points clés à tenir en compte comprennent la façon dont les systèmes collaboratifs utilisent l’information ainsi que l’état final de l’information traitée dans le cadre du processus.

Numérisation avancée

Vous pouvez réduire les risques associés aux télécopieurs autonomes et remplacer l’acheminement manuel par une procédure de livraison automatisée. Pour veiller à ce que les télécopies soient uniquement transmises aux destinataires voulus, il convient généralement de tirer parti de l’authentification sécurisée, de protocoles de chiffrement, du chiffrement des données au repos et de règles d’acheminement. L’automatisation élimine le traitement du papier et réduit le risque que des documents soient récupérés par des personnes non autorisées.

Vous pouvez respecter les exigences en matière de conformité et de politique en imposant un contrôle administratif à votre environnement de télécopie au moyen de la transmission et de la réception vérifiables des documents, de pistes de vérification complètes des activités et de l’accès aux télécopies archivées de toutes les transactions de télécopies reçues et envoyées.

Conversation et élimination sécurisées

Il est si facile de perdre de vue la quantité d’information confidentielle stockée, l’emplacement où elle se trouve et les personnes pouvant y accéder. Les risques augmentent lorsque vous n’avez pas une visibilité complète des données confidentielles détenues par votre organisation, et cette lacune peut vous empêcher de respecter les exigences de base en matière de sécurité.

Rétention et élimination

Les politiques portant sur l’information établissent le cycle de vie des données et le traitement réservé aux différentes catégories de données. Les politiques de rétention peuvent établir le moment et la façon dont vos données sont déplacées de vos répertoires actifs à vos archives ou à un répertoire en nuage hors site ou dont elles sont purgées de vos systèmes conformément aux politiques. Les services d’élimination en fin de vie regroupent les données à nettoyer des appareils multifonctions afin d’assurer que la mémoire non volatile (NVRAM) et les lecteurs des appareils retirés des clients soient complètement nettoyés avant d’être éliminés.

2e couche — Sécurité des systèmes

Recommandé pour vous

Articles

2e couche — Sécurité des systèmes

Dans cette section de notre guide de sécurité, vous découvrirez les procédures et les types de systèmes auxquels les organisations devraient envisager de faire appel pour protéger leur information.

Articles

Guides des bases de la sécurité de Ricoh

Dans ce guide portant sur la cybersécurité, nous partageons des renseignements clés sur la façon dont nos solutions et notre équipement favorisent une approche de sécurité à plusieurs niveaux pour aider à protéger vos données et votre information.

Articles

3e couche – Sécurité des applications

Adopter des pratiques exemplaires en matière de sécurité des applications est essentiel à la protection des données et de l’information. Nous vous expliquerons les mesures que vous devez prendre et les façons de le faire.

¹IDC. “High Data Growth and Modern Applications Drive New Storage Requirements in Digitally Transformed Enterprises,” July 2022.