Télétravail oui… mais pas sans Gouvernance de l’Information

Tribune
Par Florian Delabie (AAFB) · 17/04/2020

La crise sanitaire que nous vivons actuellement aura accéléré, parfois de façon brutale, l’adoption de mode de travail “dématérialisé” et la mutation numérique des organisations. Toutes les fonctions et secteurs qui le permettaient ont été forcés de passer en “télétravail” et les employés ont dû s’adapter en un temps record à ce nouveau rythme de travail. Pour faciliter cette adaptation, de nombreuses personnes se sont tournées très légitimement vers les outils digitaux, mis à disposition par leur organisation ou en accès libre sur le web : communications vidéo, chat, partage de fichier, outil d’édition collaborative, gestion des tâches, réseaux sociaux d’entreprise, stockage en ligne… 

Les informations à risque

La mise sous tension de nos états et de nos services de santé, combinée à un télétravail de masse souvent non-préparé ou anticipé, font peser de nouvelles menaces sur les assets informationnels des organisations. Ces menaces peuvent être externes comme des cyber-attaques contre des établissements de soins de santé ou des attaques de phishing visant des grandes institutions; mais également internes suite à la mauvaise utilisation de logiciels ou le recours à des systèmes “gratuits” moins sécurisés et non déclaré (shadow IT).

De nombreux experts ont déjà alerté sur la nécessité de maintenir, voire d’intensifier la vigilance des organisations en matière de sécurité de l’information et de protection des données à caractère personnel. A l’instar de ces deux domaines, il est nécessaire que les organisations se préoccupent également de la gestion et préservation de l’information (GPI) qui vise à s’assurer de la garantie de l’intégrité, l’authenticité et l’exploitation des informations ou des données sur le long-terme. 

Dans une approche par le risque, prônée dans la gouvernance de l’information, il est crucial de s’assurer que l’organisation ne perdra pas d’information engageante, non seulement pour des raisons légales mais aussi et surtout financières et opérationnelles. La GPI permet notamment d’anticiper les risques de litige en se reposant sur des documents fiables et intègres, d’éviter des amendes pour non-respect des législations en matière de délais de conservation ou de suppression des données, voire encore d’assurer l’efficience et la continuité des processus métier nécessitant certaines informations. La période que nous connaissons, la multiplication du travail en ligne et la non-préparation des organisations à cette façon de travailler aggravent les risques que nous venons de mentionner et soulève l’importance de la gestion et la préservation de l’information. 

L’exemple de l’intégré Office

En Belgique, une grande partie des organisations sont équipées des outils bureautiques de Microsoft et ont effectué leur migration vers la “nouvelle génération”, appelée Office365. Ce passage implique, d’une part, le travail dans le cloud Microsoft avec les outils OneDrive et SharePoint online, mais aussi la mise à disposition de toute une série d’applications comme MS Teams.

Du point de vue de la gestion et préservation de l’information, nous avons donc trois outils permettant de créer et de gérer des informations engageantes pour l’organisation.

Il est crucial que chaque organisation prenne conscience de cet enjeu et puisse définir des règles d’utilisation afin d’éviter toute perte ou altération des contenus: qu’adviendra-t-il du OneDrive d’un employé lors de son départ (GDPR)? comment sont extraites les informations engageantes des boîtes e-mail? qui et comment sont gérés les sites SharePoint? ou encore peut-on laisser les utilisateurs créer des “Teams”?

La situation actuelle a intensifié l’utilisation de ce dernier outil mais peu de personnes ou d’organisations savent que la création d’un espace Teams enclenche une série d’actions:  

  • création d’un groupe Office dans l’Active Directory
  • responsabilité attribuée de facto au créateur du groupe 
  • génération d’un espace SharePoint lié au groupe, avec configurations par défaut (pas de métadonnées, pas de librairie, peu de sécurisation des accès…)  
  • création d‘une adresse mail partagée pour le groupe. 

Microsoft Teams offre une interface “user friendly” qui rassemble en un seul outil de nombreuses fonctionnalités nécessaires pour le travail collaboratif. Néanmoins, il faut savoir qu’il s’agit plus d’un agrégat de différents outils que de la création d’un nouveau. Par exemple, la création et le partage des documents dans Teams s’effectuent depuis le site SharePoint dédié; c’est donc à cet endroit que seront stockés l’ensemble des documents sans règles de préservation. Autre exemple, l’ensemble des chats d’équipes sont sauvegardés dans l’historique des conversations de la boîte mail partagée, à l’instar d’une conversation Skype. Par défaut, aucune règle de conservation n’est appliquée mais le contenu de ces chats n’est pas accessible aux utilisateurs.  

L’importance de la GPI dans les organisations 

Ces exemples visent à démontrer l’importance de mettre en place des politiques et procédures en matière de gestion et de préservation de l’information. Ces pratiques sont d’autant plus importantes dans des environnements distants et dans une période de “stress” pour l’organisation. 

Pour minimiser les risques liés aux informations engageantes, il convient de pouvoir répondre au minimum aux cinq exigences suivantes dans tous les systèmes d’information : 

  1. identifier les informations engageantes (structurées ou non) pour votre organisation et pouvoir les collecter et en gérer leur cycle de vie
  2. garantir l’intégrité des documents au travers des métadonnées de type hash 
  3. garantir l’authenticité en collectant les métadonnées de versioning des documents: création, modification, mais surtout validation; cette dernière peut prendre des formes simples (“pour accord”, autorisation de publication), voire beaucoup plus complexes, avec des signatures électroniques qualifiées
  4. pouvoir appliquer des délais de conservation et, si possible, automatiser la destruction et/ou le transfert vers des services d’archives
  5. permettre la protection et la préservation des données précédemment citées durant la durée de conservation des informations. 

L’information de votre organisation est un asset primordial et il convient de la protéger et de maximiser son utilisation: la gouverner. Pour cela, à côté des projets de sécurité de l’information (ISO 27001) et de protection des données à caractère personnel (GDPR), il convient de mettre en place la dernière brique qui est la gestion et préservation de l’information (Digital Act). Chaque manager doit donc pouvoir s’appuyer sur des professionnels de la GPI au même titre qu’il s’appuye sur l’expertise d’un conseiller en sécurité ou d’un délégué à la protection des données. 

Florian Delabie
consultant en sécurité et
préservation numérique
membre du conseil
d’administration de l’AAFB
(Association des Archivistes
Francophones de Belgique)