Par Philippe Leroy, Directeur des ventes Europe du sud pour eCopy, une division de Nuance
Au cours de ces dernières années, les entreprises ont mobilisé leurs ressources pour la gestion des données électroniques, voulant s’assurer de leur sécurité absolue et du respect de l’ensemble des critères de conformité de leurs processus. Mais qu’en est-il des informations papier ? 30 % : c’est la proportion étonnante de documents d’entreprise essentiels persistant encore sous forme papier(1), et ce bien que leur gestion soit toujours négligée.
Ce constat peut s’expliquer par le fait que les données papier et électroniques sont stockées séparément et gérées par des processus distincts. Ce qui ne va pas sans poser de problèmes, non seulement en matière de stockage sécurisé, mais aussi en termes d’association des systèmes manuels et électroniques à des fins d’exploitation et de conformité.
À mesure que les quantités de données pures et que les manières de les compiler augmentent, la gestion des risques pour les informations de l’entreprise joue un rôle toujours plus crucial dans l’avenir et la stratégie de l’entreprise, et ce quels que soient les moyens de conservation des informations mis en œuvre. Un risque évident est le vol d’identité, majoritairement perçu comme un problème concernant les données électroniques, bien qu’il soit en grande partie directement lié au vol de documents papier plutôt que d’ordinateurs portables. D’après une enquête du Credoc, l’usurpation d’identité coûte ainsi 474 millions d’euros par an aux assureurs et aux particuliers en France.
Le papier constitue une vulnérabilité importante pour les entreprises ; l’erreur humaine n’est jamais à exclure et le vol d’un fichier confidentiel oublié dans un train, un taxi ou sur le haut d’une corbeille à papier est bien réel. Les données confidentielles sont également perçues comme du gaspillage ; leur élimination est synonyme de coût et non pas de risque, et ne constitue a fortiori pas un problème décisionnel. Des sommes colossales sont consacrées à la protection des infrastructures informatiques mais aucune politique de gestion des informations n’est en place pour traiter les documents imprimés. Les entreprises doivent élaborer une politique uniforme de sécurité des informations et l’appliquer à tous les services, dans l’idéal en la fondant sur la norme ISO 27001/2. Que peuvent-elles donc faire pour sécuriser leurs données papier ? Elles doivent tout simplement éliminer le risque ou, pour le moins, le réduire énormément.
Il existe un moyen d’atteindre cet objectif : numériser les documents papier dans le flux de production électronique à leur point d’entrée dans l’entreprise, depuis n’importe quel périphérique d’entrée, qu’il s’agisse d’un scanneur ou d’un périphérique multifonction (ou MFP, multi-function peripheral). Obtenir d’importants retours sur des investissements matériels et logiciels existants est un point tout aussi important que la facilité d’utilisation de la capture d’informations imprimées à des fins de conformité et de récupération en cas de sinistre.
C’est à ce point d’entrée qu’il est possible de mettre en place des contrôles d’accès et des mesures de sécurité visant à limiter les droits des utilisateurs (autorisation/interdiction de visualiser, de modifier, d’imprimer, de copier ou de faire suivre un document). Cette étape est primordiale en cette période où la sécurité des informations et des données n’a jamais fait l’objet d’un examen aussi attentif. En réalité, d’après des recherches récentes menées par Cyber-Ark Software (2) (août 2008), 88 % des administrateurs informatiques voleraient des informations confidentielles de leur entreprise s’ils étaient licenciés. De telles statistiques nous montrent à quel point il est essentiel d’employer toutes les mesures de protection à notre disposition.
Tous les documents devraient se voir appliquer un niveau de confidentialité approprié dans le cadre du processus d’entrée afin que leur contenu soit uniquement visible par le personnel autorisé. Les niveaux de confidentialité dépendraient alors du type de document numérisé (dossiers médicaux, factures ou informations financières, par exemple).
À ce stade, il est également possible d’identifier le type de document de manière à l’envoyer automatiquement via un itinéraire préétabli (une facture est acheminée directement au service comptabilité, un CV aux ressources humaines, etc.). A la clé : la mise en application réelle de la protection des données. Les documents parviennent directement à la bonne destination. Le nombre de personnes pouvant les intercepter en chemin se trouve ainsi limité et les possibilités d’abus sont nettement restreintes. Comme les propriétaires des documents initiaux peuvent décider dès le point de numérisation des personnes habilitées (ou pas) à les visualiser, les modifier ou les imprimer, les informations sensibles risquent nettement moins de tomber entre de mauvaises mains ou de ne pas respecter les procédures de mise en conformité.
Mesure de protection supplémentaire, une fois converties au format électronique, les données ne peuvent plus être envoyées par e-mail ou par fax sans laisser de trace dans un journal ; une piste d’audit complète permet de prouver la conformité aux réglementations en vigueur. Si le système de numérisation d’e-mails est entièrement intégré au système de messagerie de l’entreprise, les documents sont envoyés comme s’ils étaient transmis depuis le bureau de l’utilisateur, accompagnés des informations d’identification de ce dernier ainsi que d’une piste d’audit claire. De cette manière, les informations sont capturées et conservées avec tous les autres e-mails de l’entreprise et leurs traçabilité est assurée pour la suite.
Un bon système doit également prendre en charge l’authentification des utilisateurs au niveau du périphérique de numérisation. Ces périphériques n’ont plus rien à voir avec les modèles de l’ancienne génération. Ils ont évolué jusqu’à devenir des plates-formes informatiques évoluées, capables d’accorder un accès instantané au cœur du réseau de l’entreprise. Grâce à une intégration directe au système de gestion électronique de documents (GED) de l’utilisateur, il est possible de stocker directement les informations à l’emplacement pertinent et de s’assurer que le point de départ du processus est sécurisé et traçable grâce à la fonction d’authentification.
De plus, l’intégration au système de GED permet d’appliquer les mesures de sécurité et de récupérer des documents au moment et selon les modalités exigés. Le document papier d’origine peut alors être détruit ou conservé hors site dans un système de stockage bon marché afin de respecter les exigences réglementaires ou dans le cadre d’un plan de continuité de l’activité mis en œuvre en cas de sinistre.
Dès lors que les données sont intégrées au workflow électronique, elles peuvent être prises en compte plus efficacement dans des plans de continuité de l’activité et, dans les rares cas de perte de données, elles sont récupérables à partir d’archives ou de systèmes de sauvegarde au lieu d’être irrémédiablement perdues. Il est ainsi possible d’éviter de perdre des données importantes, souvent conservées sur du papier, en cas d’incendie, notamment les politiques de santé et sécurité, car elles auront été préalablement numérisées et classées par voie
électronique.
En éliminant le volume de papier en circulation dans l’entreprise, celle-ci dispose de la capacité de mettre en place des contrôles plus stricts, de réduire les occasions d’abus et de trouver une solution de continuité de l’activité plus efficace. Si les informations constituent effectivement l’élément vital d’une entreprise, il peut paraître négligent de ne pas en prendre en compte 30 % pour la simple raison qu’elles sont disponibles sur papier.
1. D’après un rapport d’InfoTrends, Roadmap 2006 : « Image Scanning Trends »
2. Cyber-Ark Software est un fournisseur majeur de solutions de gestion d’identités privilégiées (PIM, Privileged Identity Management) pour la sécurisation des comptes utilisateurs privilégiés et la gestion des informations sensibles à tous les niveaux de l’enterprise.