Ricoh Canada
Yellow security lock connecting process to seven purple blocks

Sécurité de l’information

Pour protéger votre information, vous devez d’abord savoir quel type d’information vous possédez, où vous la stocker et les risques que cette information entraîne pour votre organisation. En transformant les données brutes en renseignements structurés et exploitables pouvant faire l’objet de recherches, vous pouvez découvrir de l’information qui vous aidera à prendre de meilleures décisions et à mettre en place les niveaux appropriés de protection.

Gouvernance de l’information

Maintenir le contrôle de votre information pour optimiser vos activités et votre protection contre les menaces ainsi que pour garantir votre conformité réglementaire et juridique exige des politiques et des programmes globaux basés sur des normes internationales. La gouvernance de l’information concerne l’orchestration de la création, de la cueillette, de la gestion, de la rétention et de l’élimination de l’information à l’échelle de l’organisation.

L’élaboration de politiques de gouvernance de l’information qui respectent les normes exige l’expertise de spécialistes certifiés orientés par des directives visant à respecter les besoins de votre organisation. Les services de gouvernance de l’information aident les organisations à respecter les politiques de sécurité et à atteindre la conformité à l’égard de diverses réglementations fédérales, provinciales et municipales ainsi que divers règlements de l’industrie, en plus de leur donner la capacité d’effectuer des vérifications et de prouver leur conformité d’une manière efficace.

Toute transaction entre une entreprise et un intervenant laisse une trace de données. Il peut s’agir de données hautement confidentielles, comme des renseignements d’identification personnelle ou de l’information de l’industrie de carte de paiement, qui exigent des mesures de sécurité, de confidentialité et de contrôle de la découverte. D’autres données, que l’on nomme les données redondantes, obsolètes ou insignifiantes (ROT, redundant, obsolete, trivial), n’ont aucune valeur et occupent inutilement de l’espace. On estime que les données ROT comptent pour, au minimum, 25 à 30 % des données d’entreprise. Certaines sources estiment que ce pourcentage est beaucoup plus élevé.

Les données non structurées sont des renseignements n’ayant pas été organisés dans une base de données traditionnelle et structurée, ce qui signifie qu’ils sont inaccessibles, qu’ils ne font pas l’objet d’un suivi et qu’ils ne peuvent être utilisés à titre d’information d’affaires. Si vous ne gérez pas votre répertoire de données, dont la plupart sont non structurées, vous risquez de stocker des volumes élevés de données ROT, vous exposez votre organisation à des risques et la rendez vulnérable aux brèches.

Les données non structurées sont un important facteur pouvant entraîner des atteintes à la sécurité, des violations à la vie privée, des coûts élevés en matière de TI ainsi que de pénalités liées à la non-conformité. Lorsqu’on pense à la cybersécurité, il faut savoir que les données non structurées sont souvent des cibles faciles pour les cybercriminels qui tentent d’accéder plus profondément aux systèmes. Ces derniers cherchent des renseignements monétisables comme des noms, des adresses, des dates de naissance, des numéros d’assurance sociale, des mots de passe, des numéros de cartes de crédit, des données bancaires ou des contrats. Malheureusement, les données confidentielles se trouvent souvent au sein même de l’infrastructure, ce qui complexifie leur suivi et leur protection.

Voici quatre domaines clés d’amélioration de la gouvernance de l’information qui permettent de limiter les risques :

1. Plateforme de gestion des dossiers et de l’information

La mise en place d’un programme de gestion des dossiers et de l’information (RIM, records information management) garantit que les organisations respectent les exigences réglementaires et juridiques en plus d’améliorer l’efficacité de l’accès à l’information. Les pratiques adéquates de gestion des dossiers et de l’information, appuyées par une plateforme sécurisée, contribuent à la protection de l’information grâce à un stockage sécurisé, à un contrôle des accès, à des pistes de chiffrement et d’audits ainsi qu’à la réduction des risques de sécurité et de confidentialité.

Il est essentiel d’établir des politiques de gouvernance, élaborées en collaboration avec des spécialistes certifiés de la gestion des dossiers, qui englobent l’information de toute l’organisation, qui sont soutenues par des pratiques et des technologies qui favorisent la gouvernance tout au long du cycle de vie des renseignements, de leur collecte à leur élimination, en passant par leur stockage. Ce faisant, les organisations peuvent se protéger contre les brèches et maintenir l’intégrité et la confidentialité des données critiques, tout en rehaussant la confiance et la fiabilité.

2. Analyse de fichiers et outils de classification

La mise en place d’un programme de gestion des dossiers et de l’information (RIM, records information management) garantit que les organisations respectent les exigences réglementaires et juridiques en plus d’améliorer l’efficacité de l’accès à l’information. Les pratiques adéquates de gestion des dossiers et de l’information, appuyées par une plateforme sécurisée, contribuent à la protection de l’information grâce à un stockage sécurisé, à un contrôle des accès, à des pistes de chiffrement et d’audits ainsi qu’à la réduction des risques de sécurité et de confidentialité.

Il est essentiel d’établir des politiques de gouvernance, élaborées en collaboration avec des spécialistes certifiés de la gestion des dossiers, qui englobent l’information de toute l’organisation, qui sont soutenues par des pratiques et des technologies qui favorisent la gouvernance tout au long du cycle de vie des renseignements, de leur collecte à leur élimination, en passant par leur stockage. Ce faisant, les organisations peuvent se protéger contre les brèches et maintenir l’intégrité et la confidentialité des données critiques, tout en rehaussant la confiance et la fiabilité.

3. Politique et mise en œuvre alimentées par des spécialistes

L’établissement d’une politique de gouvernance de l’information approuvée par la direction offre un cadre de travail et des mesures de contrôle qui permettent de gérer efficacement le traitement de l’information. La gouvernance contribue à l’atténuation des risques organisationnels et garantit que les technologies et les comportements respectent les exigences réglementaires et juridiques. Lorsque les politiques et les directives sont mises en place, les procédures efficaces de protection des données peuvent être inculquées au personnel et intégrées aux procédures et aux technologies.

Les politiques devraient aborder la gestion des dossiers et de l’information, les mesures de contrôle de la confidentialité ainsi que la sécurité des données. Des directives organisationnelles expliqueront les procédures, les flux de travaux et les protections dans des communications et des guides opérationnels. Les rôles et les responsabilités y seront également clairement définis. Des formations régulières sont également nécessaires à mesure que les activités et les réglementations évoluent. Des technologies peuvent être mises en place pour activer les mesures de contrôle, automatiser les procédures ainsi que pour mesurer les résultats, en faire le suivi et produire des rapports à leur égard.

4. Politiques et procédures de gestion du cycle de vie des données

L’objectif de cette pratique exemplaire en matière de sécurité est de limiter le risque auquel une organisation est exposée grâce à la gestion des données, y compris les données confidentielles et l’information précieuse, pendant toute leur durée de vie. Les équipes de services professionnels et de services gérés de Ricoh peuvent vous aider à toutes les étapes de cette procédure.

Les politiques et les procédures portant sur la rétention et l’élimination établissent le cycle de vie des données et le traitement réservé aux différentes catégories de données. Les politiques de rétention peuvent établir le moment et la façon dont vos données sont déplacées de vos répertoires actifs à vos archives ou à un répertoire en nuage hors site ou dont elles sont purgées de vos systèmes conformément aux politiques. Les services d’élimination en fin de vie regroupent les données à nettoyer des appareils multifonctions afin d’assurer que la mémoire non volatile (NVRAM) et les lecteurs des appareils retirés des clients soient complètement nettoyés avant d’être éliminés.

Automatisation des procédures d’affaires

woman during her workflow on a desktop computer

Alors que les façons dont nous communiquons, collaborons et créons évoluent, le besoin de solutions simples, sécuritaires et durables se manifeste de plus en plus. Nos activités principales — obtenir, créer, saisir et gérer de l’information — sont essentielles à notre succès et doivent, par conséquent, être protégées contre les menaces.

L’automatisation a créé de nouvelles méthodes d’apprentissage lié au travail en rehaussant l’efficacité, en offrant aux employés plus de temps pour se concentrer sur les tâches de haute valeur, en fournissant des analyses holistiques qui accélèrent la prise de décision et en intégrant des flux de travaux qui harmonisent l’expérience.

L’automatisation permet également une surveillance intelligente complète, un suivi des anomalies et des menaces ainsi qu’une réponse rapide à leur égard, l’atténuation des risques et l’amélioration de la conformité.

La mise en place d’une technologie alimentée par l’IA peut rehausser encore davantage la résilience tout en maintenant l’efficacité et la productivité. En analysant les données historiques, qui lui permettent de reconnaître les tendances de l’information et les comportements des utilisateurs, l’IA peut prévoir les risques de sécurité. L’IA joue également un rôle dans le chiffrement de l’information qui circule au sein de l’organisation, en utilisant des techniques de masquage des données qui protègent les données contre les interceptions.

L’automatisation robotisée des processus (ARP) fournit aux organisations une main-d’œuvre virtuelle ou des robots qui s’attaquent aux tâches répétitives dans le but d’accélérer les méthodes de travail. Les outils d’ARP possèdent leurs propres normes de sécurité comportant des mesures de chiffrement pour entreprise, l’accès fondé sur des rôles et des permissions, l’authentification au moyen d’Active Directory, le chiffrement des bases de données et bien plus encore.

Plus de 90 % des données ne sont pas structurées¹

Sheets of paper with charts on it alongs side a digitized version on a tablet

Information entrante

L’information entrante, comme les courriels, le courrier, les formulaires soumis virtuellement, les documents numérisés et les données issues du commerce électronique, doit être reçue et traitée de manière sécuritaire dans le cadre de toute initiative d’automatisation des procédures d’affaires. En intégrant cette information aux flux de travaux automatisés et sécurisés, vous pouvez garantir que vos données sont en sécurité et contribuer à la conformité et à la gouvernance de l’information.

Les données numérisées exigent une protection particulière dès leur naissance et pendant toute leur durée de vie. Les documents numériques et les documents numérisés, les formulaires, les télécopies, les images saisies et toutes les autres données entrent dans les systèmes de votre organisation par différents moyens, vous devez donc choisir judicieusement la façon dont vous protégez ces précieux renseignements.

L’automatisation de la saisie, de la classification, de l’extraction et de l’exportation des données peut accélérer le flux d’information et, ainsi, faciliter leur accès pour les personnes en ayant besoin. Le contrôle et la gouvernance des accès à l’information, en particulier pour l’information confidentielle au format numérique, exigent de redoutables capacités de sécurité sur de multiples points de contact.

Les données confidentielles, comme les renseignements d’identification personnelle, l’information de propriété intellectuelle et les renseignements fiduciaires, peuvent entraîner de lourdes amendes si elles ne sont pas protégées. Toutefois, pour que de telles données non structurées puissent être protégées, elles doivent être transformées en données structurées exploitables. Voyons ensemble comment les éléments suivants peuvent contribuer à la protection de vos précieuses données.

Procédure de saisie intelligente de document

Les solutions de saisie intelligente convertissent les documents dans un format sécurisé et structuré afin que les données puissent être exportées dans toute application ou tout flux de travaux ou répertoire, comme les systèmes de planification des ressources d’entreprise (PRE), de gestion de contenu d’entreprise (GCE), de gestion des relations avec les clients (CRM, Customer Relationship Management), d’automatisation robotisée des processus (ARP), d’analyse ou de secteur d’activités ou encore des plateformes d’intégration en tant que service (iPaaS).

Les documents doivent d’abord être numérisés ou convertis au format numérique. Au cours du processus de numérisation, des méthodes d’authentification veillent à ce que les utilisateurs et les administrateurs puissent verrouiller l’accès à certaines procédures et même limiter ce que les utilisateurs peuvent voir, dans le but d’empêcher l’utilisation inappropriée. Il est également possible de protéger les fichiers convertis au moyen de paramètres, de permissions et de mesures de contrôle des mots de passe.

La majorité des solutions de saisie intelligente ne stockent pas les données, elles acheminent simplement les données transformées numériquement à d’autres applications ou répertoires. Puisque l’information peut être compromise si elle est interceptée, des mesures de sécurité sont mises en place dans le but de la protéger. Des services en nuage font également appel à des mesures de chiffrement, de déchiffrement et d’authentification intégrées ainsi qu’au protocole de sécurité de la couche de transport (TLS) dans le cadre des transmissions.

Person filling out an eForm on a tablet through a secure platform

Formulaires électroniques sécurisés

Les formulaires électroniques sont une manière cohérente de soumettre de l’information dans un système et peuvent être une solution de rechange aux approches faisant appel au courriel ou au papier. Toutefois, des formulaires électroniques mal codés ou mal protégés peuvent entraîner des risques en matière de sécurité.

En effet, un formulaire n’ayant pas été proprement sécurisé peut servir de passerelle à de l’information falsifiée ou faciliter les tentatives d’introduction de code malveillant. Des logiciels de création de formulaires intelligents peuvent accomplir le travail difficile à votre place et en arrière-plan, notamment la création de formulaires adéquats incluant des fonctions comme des champs de signature électronique, des services de location, des contrôles d’accès, la gestion des pièces jointes et, plus particulièrement, la gestion des flux de travaux. Surveillez et analysez vos flux de travaux basés sur les formulaires en obtenant un suivi complet des procédures essentielles en plus d’approuver ou de rejeter les soumissions de formulaire avant qu’elles poursuivent leur chemin

Information sortante

Gérer de manière sécuritaire de grands volumes de données tout en respectant les audits et les contrôles réglementaires peut sembler difficile. Pourtant, un système de données qui gère votre information de manière sécuritaire, qui automatise vos flux de travaux de manière fluide et qui permet l’accès à distance est essentiel à l’optimisation des procédures de votre milieu de travail hybride.

Comment pouvez-vous y arriver tout en vous assurant que vos données sont protégées contre les menaces externes, les brèches de sécurité internes (accidentelles ou délibérées), les pertes de données ou les violations de conformité?

1. Contrôle de la production d’impression

Les imprimantes multifonctions favorisent la production efficace pour de multiples utilisateurs en plus de leur permettre de protéger l’information imprimée. Que la tâche d’impression soit transmise depuis un ordinateur ou un appareil mobile, l’impression d’information confidentielle est contrôlée par une personne autorisée. De plus, la facturation et le suivi complet des coûts permettent un contrôle exhaustif des comportements des utilisateurs et offrent une manière d’identifier les tendances inhabituelles et les abus.

2. Relâchement sécuritaire de documents

L’intégration du relâchement sécuritaire de documents permet d’empêcher que l’information confidentielle envoyée sur des serveurs d’impression centraux ou des services en nuage soit récupérée par erreur ou par des personnes cherchant à la voler. Plutôt que d’être transmises directement à un appareil, les tâches d’impression sont chiffrées et conservées dans la file d’attente d’impression d’où elles proviennent, dans un serveur ou dans le nuage.

Ainsi, l’utilisateur peut uniquement relâcher l’impression lorsqu’il se trouve devant l’appareil de son choix et après s’être authentifié. La file d’attente d’impression peut être sur le site ou en nuage, et les données d’impression peuvent être transmises au moyen d’une connexion Web et être chiffrées tout au long de leur transit.

closeup of person holding a mobile phone

3. Impression mobile

Compte tenu de l’évolution des comportements de la main-d’œuvre, la capacité d’imprimer à partir d’un appareil mobile est maintenant essentielle dans de nombreuses organisations. Cette capacité exige de réfléchir à la fois aux procédures et aux infrastructures technologiques. L’une des procédures pouvant être mises en place, le relâchement des impressions par authentification, permet aux utilisateurs d’empêcher que les renseignements confidentiels soient laissés sans surveillance dans une imprimante en exigeant qu’ils s’authentifient au moyen d’un appareil mobile.

L’imprimante est sélectionnée sur l’appareil mobile, et l’impression est produite lorsqu’une personne est présente pour la relâcher et pour récupérer l’information de manière sécuritaire. Pour ce qui est de l’infrastructure, il est possible de protéger le flux des données d’impression et de gérer les procédures d’impression mobile en choisissant parmi diverses méthodes de déploiement selon les politiques de sécurité. Ces méthodes peuvent impliquer des serveurs d’impression mobile sur site ou des plateformes d’impression mobile en nuage. Les activités menées à partir d’appareils mobiles peuvent faire l’objet d’un suivi et de rapports détaillés sur les utilisateurs, de plus, les appareils d’impression traditionnelle permettent de faire un suivi des impressions. Il est également possible de gérer les appareils mobiles.

4. Impression à base de règles

Les règles d’impression peuvent limiter le nombre de pages pouvant être imprimées sur un appareil, restreindre l’utilisation de la couleur, imposer l’option recto verso, limiter l’accès à certains paramètres et bien plus encore. Des limites de comptes budgétaires pour les copies et les impressions peuvent être établies par les utilisateurs et elles comprennent le suivi des activités effectuées directement sur une imprimante multifonction.

La prévention de la mauvaise utilisation des ressources réduit les coûts d’exploitation, restreint l’activité des utilisateurs dans le but de renforcer leur imputabilité et fournit des renseignements, au moyen d’analyses, pour repérer les irrégularités.

Puisque les utilisateurs doivent s’authentifier pour imprimer, les règles d’impression que vous établissez sont automatiquement appliquées et l’activité est réattribuée à l’utilisateur. Les utilisateurs peuvent lier l’impression, la numérisation et la télécopie de certains documents à un client, un projet ou un cas précis aux fins de facturation, ce qui permet d’obtenir des rapports d’activités détaillés à l’égard d’un projet ou d’un sujet confidentiel.

Close up of locked screen waiting for authentication

5. Solutions d’impression sécurisée en nuage

Compte tenu de la popularité grandissante du travail hybride, l’impression dans le nuage est désormais essentielle pour veiller à la sécurité dans le partage d’information, pour réduire les coûts ainsi que pour maintenir la productivité des employés, peu importe l’endroit où ils travaillent. Dans le cas de l’impression en nuage, il convient de faire appel à une combinaison des trois fonctionnalités de sécurité suivantes :

  • Vérification systématique

  • Authentification

  • Chiffrement

  • Suivi à distance

6. Envoi de télécopies dans le nuage

Vous pouvez réduire les risques associés aux télécopieurs autonomes et remplacer l’acheminement manuel par une procédure de livraison automatisée. Pour veiller à ce que les télécopies soient uniquement transmises aux destinataires voulus, il convient généralement de tirer parti de l’authentification sécurisée, de protocoles de chiffrement, du chiffrement des données au repos et de règles d’acheminement. L’automatisation élimine le traitement du papier et réduit le risque que des documents soient récupérés par des personnes non autorisées.

Vous pouvez respecter les exigences en matière de conformité et de politique en imposant un contrôle administratif à votre environnement de télécopie au moyen de la transmission et de la réception vérifiables des documents, de pistes de vérification complètes des activités et de l’accès aux télécopies archivées de toutes les transactions de télécopies reçues et envoyées.

Lire la section suivante, Sécurité des appareils or télécharger le guide complet

  1. 1IDC. “High Data Growth and Modern Applications Drive New Storage Requirements in Digitally Transformed Enterprises,” July 2022.