Digitemis : un œil extérieur sur la sécurité

Experte en sécurité de l’information et cybersécurité, la société Digitemis est multi-sollicitée. Son rôle : auditer les entreprises et organisations et les accompagner par des recommandations. Y compris sur la protection des données personnelles, pour lesquelles « les entreprises sont à des années lumières de leurs obligations ».

Pour se mettre en conformité, il reste moins de deux ans. Le 25 mai 2018, toutes les entreprises et organisations devront s’être alignées sur le Règlement général sur la protection des données. Ce règlement, adopté en mai 2016 par les états membres de l’Union Européenne, est le nouveau texte de référence. Documents bancaires, de santé, données client, informations sur le personnel, celles transmises aux partenaires et sous-traitants…, toutes les données à caractère personnel sont concernées.

Pour Ludovic de Carcouët, directeur de Digitemis, la protection des données personnelles est parmi les principaux points négligés par les entreprises. « C’est un chantier immense dont on est au tout début puisque les gens ne savent pas la réglementation. Les entreprises sont à des années lumières de leurs obligations Il n’est pas rare de voir des données sur les salariés, comme les bulletins de salaire, accessibles sans aucune garantie de sécurité. »

La protection des données personnelles est l’une des spécialités de Digitemis. La PME vendéenne revendique une position de leader sur le sujet, car premier organisme français à obtenir 4 labels CNIL pour ses procédures d’audit. Protéger ces données est une obligation, c’est aussi un comportement responsable qui peut se transformer en avantage concurrentiel dès lors qu’il « renforce la confiance du client ».

Un rôle d’expert

Mais au-delà de ce point particulier, Digitemis se définit plus largement comme étant experte en sécurité de l’information. « Nous aidons les entreprises à identifier leurs vulnérabilités et nous les accompagnons pour y remédier. » La première étape consiste à comprendre le contexte et les besoins : existe-il des données sensibles à protéger, quels sont les échanges avec les clients, partenaires et sous-traitants, quels sont les moyens de protection en place ? Ce qui va de considérations très techniques comme l’étude de l’architecture du système d’information avec éventuellement « des tests d’intrusion pour accéder aux données sensibles », jusqu’à des échanges sur « les procédures mises en place pour contrôler l’accès aux locaux ».

De là découlent des recommandations. « Il n’existe pas de niveau de sécurité absolu. Tout est fonction des besoins métiers de l’entreprise. Par exemple, dans une société de conseil on pourra très bien travailler sans informatique pendant 24 heures. Alors que dans d’autres secteurs comme la logistique, la moindre coupure d’accès au téléphone ou au système d’information se traduit par des retards de livraison ou des pénalités à payer. Notre rôle, c’est d’émettre des recommandations proportionnées aux enjeux de sécurité de chaque entreprise. »

L’indépendance, gage de confiance

La suite est de la responsabilité du client, Digitemis ne met pas en œuvre de solutions. « Nous avons le rôle de l’œil extérieur, du tiers de confiance. Nous restons indépendants de l’entreprise et de ses partenaires. C’est ce qui nous permet d’évaluer l’organisation interne au même titre que les prestataires et sous-traitants. Au final, c’est ce qui permet à tous de monter en compétences. »

Améliorer le niveau de sécurité coûte-t-il très cher ? « Pas forcément », estime Ludovic de Carcouët. « Dans une première phase, un échange à base de questions peut suffire à sensibiliser et faire monter en sécurité. Il s’agit de regarder là où les gens n’ont pas l’habitude de regarder, pour donner les bons réflexes. L’idée, c’est d’aider les entreprises, qui reviennent vers nous lorsqu’elles ont des problèmes plus complexes. »

À l’affût de « bons profils »

Digitemis cible les entreprises et organisations de toutes tailles, dont les PME, dans un esprit de service de proximité. Son équipe, qui compte une quinzaine d’ingénieurs, doit faire face à une demande grandissante. Si bien qu’il est prévu à l’avenir de recruter « une dizaine de personnes par an ». L’entreprise recherche des profils juniors et seniors qui ne seront opérationnels qu’après un nécessaire « complément de formation » en interne. « Nous ne sommes pas limités par la demande du marché mais par le rythme des recrutements. »

Roland Le Bouëdec

Source : Le Mag Numérique

Je partage

Derniers articles

DPO interne ou externe : les clés pour faire le bon choix

La désignation d’un DPO est une disposition essentielle du RGPD pour être en conformité (article 37 à 39 du RGPD). Elle est obligatoire dans certains cas et reste fortement conseillée pour les autres. En tant que responsable de traitement, vous avez le choix de nommer un DPO en interne ou bien d’externaliser cette fonction. A travers cet article, découvrez les points de vigilance à intégrer à votre réflexion.

Lire l'article

Comment évaluer la résilience de votre entreprise face aux attaques informatiques ?

La résilience en cybersécurité est cruciale pour toutes les entreprises, quel que soit sa taille ou son secteur d’activité. Cela englobe la capacité à anticiper, prévenir, et récupérer de diverses menaces informatiques. Digitemis vous aide à évaluer votre résilience.

Lire l'article