Généralisation du Cloud, explosion des règlementations… la sécurité des données est à l'ordre du jour ?

Joël Bentolila : En effet, depuis la généralisation du Cloud, la sécurité des données RH est devenue plus cruciale que jamais dans le choix d’une plate-forme de formation et de gestion des talents. L’évolution des règlementations en matière de protection des données personnelles ne fait que renforcer ce constat. Qu’il s’agisse des données administratives relatives à chaque collaborateur ou des données issues des processus de l’entreprise, les outils de formation en ligne intègrent des flux de données confidentielles et stratégiques pour l’entreprise.

En tant qu'éditeur, Talentsoft doit assurer à ses clients que leurs données sont stockées sur des infrastructures sécurisées, et que seules les personnes habilitées y ont accès. C'est pourquoi nous avons mis en place des standards de sécurité élevés que nous appliquons à la fois sur nos processus internes et sur les applications que nous développons, mais aussi sur tous les logiciels tiers et prestataires avec lesquels nous travaillons.

Cette préoccupation arrive très tôt dans les projets Talentsoft ? 

Joël Bentolila : Chez Talentsoft nous intégrons les questions de sécurité dès la phase de conception et tout au long des développements. C’est ce qu’on appelle l’approche Secure by design. Une équipe - composée d’un Chief Security Officer, d’architectes sécurité et d’ingénieurs spécialisés - est dédiée à 100% à cette question. Cette équipe est en veille permanente sur les questions de cybersécurité ; elle s’assure que nos solutions sont en conformité avec les règlementations en matière de protection des données ; elle  forme régulièrement les autres équipes sur les dernières pratiques de sécurité logicielle. Elle s’appuie notamment sur les bonnes pratiques publiées par l’OWASP (Open Web Application Security Project), une communauté virtuelle dont le but est de rendre visible la sécurité logicielle. C’est une source d’informations extrêmement fiable aidant à bâtir des systèmes de sécurité.

Est-il facile de garantir la sécurité des données quand votre plateforme intègre des technologies tierces ?

Joël Bentolila : C'est une question majeure à laquelle nous répondons par une stricte sélection des technologies tierces que nous utilisons, qu'il s'agisse des logiciels de développement ou de ceux utilisés par nos directions métiers (CRM, emailing, comptabilité, etc.), ou des datacenters sur lesquels nous stockons et faisons transiter les données de nos clients. Le choix des datacenters avec lesquels nous travaillons, par exemple, repose sur leurs certifications (ISO 27001, ISAE 3402 et SSAE 16), sur leur confidentialité, leur qualité et leur disponibilité. Pour répondre également aux contraintes de nos clients et aux spécificités règlementaires locales, nous disposons de datacenter dans différents pays et continents.

Quelle est la part des tests dans votre approche sécurité ? 

Joël Bentolila : Nous procédons à des tests et des audits systématiques. En particulier la qualité du code allant de pair avec la sécurité des applications, nous intégrons des revues de code systématiques dans nos processus de développement. Nos équipes évaluent et pilotent en permanence la qualité de leur code, vérifient les paramètres de sécurité et organisent des revues avec leurs pairs, ce qui permet d'augmenter la résistance de nos applications à d’éventuels actes de malveillance, même si en matière de sécurité, il faut toujours faire preuve d’humilité face à la diversité des attaques !

Nous avons également mis en place des outils d’audit et de test automatiques pour analyser chaque morceau de code afin de détecter de potentiels risques pouvant mener à des pannes, des comportements anormaux du système ou des failles de sécurité. Nous réalisons également des tests de sécurité, de conformité et de protection. L’objectif est de mesurer et contrôler en temps réel la performance des applications et infrastructures pour détecter d’éventuelles attaques du système ou des mouvements anormaux.

Pour aller plus loin, nous faisons régulièrement appel à des spécialistes externes pour réaliser des tests d’intrusions. Ces audits permettent d’identifier des zones d’amélioration et de procéder à des évolutions pour y remédier, et ce quel que soit le niveau de gravité de la vulnérabilité identifiée.

Ce que vos clients attendent, c'est aussi la plus grande réactivité en cas de menace…

Joël Bentolila : Vous avez raison, car la sécurité d’une solution se mesure aussi au travers de la réactivité d’une équipe face à une faille. Pour cela nous avons mis en place une organisation Agile au sein de notre R&D. L’industrialisation de certains processus nous permet ainsi de déployer en quelques dizaines de minutes un correctif sur l’ensemble des serveurs en cas de détection d’une faille critique. Sans cette agilité, les failles ne seraient pas corrigées avant plusieurs semaines, voire plusieurs mois ! Ce qui n’est pas concevable lorsque l’on gère autant de données confidentielles.

Les certifications des éditeurs sont-elles une garantie ?

Joël Bentolila : Nous sommes persuadés qu'une certification ISO 27001, en particulier, est un gage de sérieux et que les éditeurs qu'ils l'ont obtenue savent mieux analyser et prévenir les risques. Les clients peuvent aussi demander à leurs fournisseurs de leur communiquer leurs rapports d’audit ou à d'en faire réaliser un par un cabinet spécialisé. Je ne voudrais pas terminer sans mentionner la question de la conformité avec les règlementations locales, qui est clé dans notre secteur d'activité, comme le montrent les fréquentes sollicitations des équipes RH et SI de nos clients. Un replay de notre récent webinaire - « RGPD : RH, êtes-vous prêt ? » constitue une bonne introduction.

Propos recueillis par Michel Diaz