ELEARNINGLETTER
ACTUALITE & STRATEGIES DIGITAL LEARNING
• • ACTUALITÉS • ÉVÉNEMENTS OFFRES D'EMPLOIS COMMUNIQUÉS DE PRESSE • PREMIUM
Leaders du e-learning
• CONTRIBUTEURS • ANNUAIRE ELL
RECHERCHE
• SUIVRE ELL • INSCRIPTION NEWSLETTER • CONTACTEZ NOUS • PUBLIEZ OFFRE D'EMPLOI • PUBLIEZ ACTUALITÉ
Talentsoft prend au sérieux la sécurité des données clients
23 NOVEMBRE 2017 / technologies
Joel Bentolila
chief technical officer
talentsoft
La sécurité des données que lui confient ses clients est un sujet clé pour les équipes Talentsoft. Des processus aux règlementations, rien n'est laissé au hasard par ce leader européen de la gestion des talents et de la formation. Démonstration par Joël Bentolila, son Chief Technical Officer.

Généralisation du Cloud, explosion des règlementations… la sécurité des données est à l'ordre du jour ?

Joël Bentolila : En effet, depuis la généralisation du Cloud, la sécurité des données RH est devenue plus cruciale que jamais dans le choix d’une plate-forme de formation et de gestion des talents. L’évolution des règlementations en matière de protection des données personnelles ne fait que renforcer ce constat. Qu’il s’agisse des données administratives relatives à chaque collaborateur ou des données issues des processus de l’entreprise, les outils de formation en ligne intègrent des flux de données confidentielles et stratégiques pour l’entreprise.

En tant qu'éditeur, Talentsoft doit assurer à ses clients que leurs données sont stockées sur des infrastructures sécurisées, et que seules les personnes habilitées y ont accès. C'est pourquoi nous avons mis en place des standards de sécurité élevés que nous appliquons à la fois sur nos processus internes et sur les applications que nous développons, mais aussi sur tous les logiciels tiers et prestataires avec lesquels nous travaillons.

Cette préoccupation arrive très tôt dans les projets Talentsoft ? 

Joël Bentolila : Chez Talentsoft nous intégrons les questions de sécurité dès la phase de conception et tout au long des développements. C’est ce qu’on appelle l’approche Secure by design. Une équipe - composée d’un Chief Security Officer, d’architectes sécurité et d’ingénieurs spécialisés - est dédiée à 100% à cette question. Cette équipe est en veille permanente sur les questions de cybersécurité ; elle s’assure que nos solutions sont en conformité avec les règlementations en matière de protection des données ; elle  forme régulièrement les autres équipes sur les dernières pratiques de sécurité logicielle. Elle s’appuie notamment sur les bonnes pratiques publiées par l’OWASP (Open Web Application Security Project), une communauté virtuelle dont le but est de rendre visible la sécurité logicielle. C’est une source d’informations extrêmement fiable aidant à bâtir des systèmes de sécurité.

Est-il facile de garantir la sécurité des données quand votre plateforme intègre des technologies tierces ?

Joël Bentolila : C'est une question majeure à laquelle nous répondons par une stricte sélection des technologies tierces que nous utilisons, qu'il s'agisse des logiciels de développement ou de ceux utilisés par nos directions métiers (CRM, emailing, comptabilité, etc.), ou des datacenters sur lesquels nous stockons et faisons transiter les données de nos clients. Le choix des datacenters avec lesquels nous travaillons, par exemple, repose sur leurs certifications (ISO 27001, ISAE 3402 et SSAE 16), sur leur confidentialité, leur qualité et leur disponibilité. Pour répondre également aux contraintes de nos clients et aux spécificités règlementaires locales, nous disposons de datacenter dans différents pays et continents.

Quelle est la part des tests dans votre approche sécurité ? 

Joël Bentolila : Nous procédons à des tests et des audits systématiques. En particulier la qualité du code allant de pair avec la sécurité des applications, nous intégrons des revues de code systématiques dans nos processus de développement. Nos équipes évaluent et pilotent en permanence la qualité de leur code, vérifient les paramètres de sécurité et organisent des revues avec leurs pairs, ce qui permet d'augmenter la résistance de nos applications à d’éventuels actes de malveillance, même si en matière de sécurité, il faut toujours faire preuve d’humilité face à la diversité des attaques !

Nous avons également mis en place des outils d’audit et de test automatiques pour analyser chaque morceau de code afin de détecter de potentiels risques pouvant mener à des pannes, des comportements anormaux du système ou des failles de sécurité. Nous réalisons également des tests de sécurité, de conformité et de protection. L’objectif est de mesurer et contrôler en temps réel la performance des applications et infrastructures pour détecter d’éventuelles attaques du système ou des mouvements anormaux.

Pour aller plus loin, nous faisons régulièrement appel à des spécialistes externes pour réaliser des tests d’intrusions. Ces audits permettent d’identifier des zones d’amélioration et de procéder à des évolutions pour y remédier, et ce quel que soit le niveau de gravité de la vulnérabilité identifiée.

Ce que vos clients attendent, c'est aussi la plus grande réactivité en cas de menace…

Joël Bentolila : Vous avez raison, car la sécurité d’une solution se mesure aussi au travers de la réactivité d’une équipe face à une faille. Pour cela nous avons mis en place une organisation Agile au sein de notre R&D. L’industrialisation de certains processus nous permet ainsi de déployer en quelques dizaines de minutes un correctif sur l’ensemble des serveurs en cas de détection d’une faille critique. Sans cette agilité, les failles ne seraient pas corrigées avant plusieurs semaines, voire plusieurs mois ! Ce qui n’est pas concevable lorsque l’on gère autant de données confidentielles.

Les certifications des éditeurs sont-elles une garantie ?

Joël Bentolila : Nous sommes persuadés qu'une certification ISO 27001, en particulier, est un gage de sérieux et que les éditeurs qu'ils l'ont obtenue savent mieux analyser et prévenir les risques. Les clients peuvent aussi demander à leurs fournisseurs de leur communiquer leurs rapports d’audit ou à d'en faire réaliser un par un cabinet spécialisé. Je ne voudrais pas terminer sans mentionner la question de la conformité avec les règlementations locales, qui est clé dans notre secteur d'activité, comme le montrent les fréquentes sollicitations des équipes RH et SI de nos clients. Un replay de notre récent webinaire - « RGPD : RH, êtes-vous prêt ? » constitue une bonne introduction.

Propos recueillis par Michel Diaz

ARTICLES RÉCENTS DANS LA MÊME RUBRIQUE | technologies
La gamification du portail de formation : levier d’engagement apprenant pour temps troublé •SUITE Pas d’envie d’apprendre, sans une « expérience formation » digne de ce nom •SUITE
Plateforme LMS « multi-tenants » : Moodle sait faire grâce aux plugins moofactory •SUITE Le besoin de formations métiers sur mesure n’a pas disparu avec la crise •SUITE
Comment créer un écosystème numérique de formation engageant et à l’épreuve du temps ? •SUITE Quels outils pour quel Blended Learning ? •SUITE
Viva Learning, par Microsoft : la formation comme levier de l’expérience employé •SUITE C'en est fini des notifications qui barbent les apprenants (et les administrateurs) ! •SUITE
Canal+ et MOS-MindOnSite : l'union fait la réussite… de la formation des téléconseillers •SUITE À la recherche… de l’engagement apprenant •SUITE
page précédente retour à l'accueil tous les articles
À LIRE CETTE SEMAINE
Comment Alstom aide ses collaborateurs et cadres à... •SUITE
« Ça ne fonctionnera jamais à distance, vive la formation... •SUITE
Formation linguistique pour tous… et personnalisée : aucune... •SUITE
La gamification du portail de formation : levier... •SUITE
Plateforme LMS « multi-tenants » : Moodle sait faire grâce... •SUITE
Pour la feuille de route « data » dans le champ formation-RH •SUITE
OFFRES D'EMPLOI
Intégrateur multimédia e-formation H/F
L’ENSP (Ecole Nationale Supérieure de la Police)
Business Developer B2B SaaS F/H
TEACH ON MARS
ILS INFORMENT
E-LEARNING TOUCH' : E-learning Touch’ lance son nouveau site internet et révolutionne son...
BEVIEW : BEVIEW - Plaquette de présentation Solutions Digitales 3D pour la...
PROCHAINS ÉVÉNEMENTS
Webinaire : Comment déconcentrer l'administration d'une plateforme moodle
15 JUIN 2021 / moofactory
E-TIPI LEARNING participe à VIVATECH 2021 - Le rendez-vous des StartUps & Leaders !
du 16 JUIN 2021 au 19 JUIN 2021 / E-TIPI LEARNING
LES PLUS LUS
• Les 11 Lauréats des Trophées du Digital Learning 2021…... •SUITE
• Classes virtuelles : une vaguelette qui clapotait depuis... •SUITE
• La formation chez Kiabi : la crise même pas peur ! •SUITE
• Classe virtuelle : le raz de marée •SUITE
• SUIVRE ELL • INSCRIPTION NEWSLETTER • INFO FOURNISSEUR • CONTACTEZ NOUS • MENTIONS LÉGALES • CENTRE DE PRÉFÉRENCES • DERNIÈRE NEWSLETTER
www.e-learning-letter.com - © copyright e-learning Media 2021 - tous droits réservés - déclaration CNIL n°1717089 - email : informations@e-learning-letter.com - création : Fair Media ®