Culture d'entreprise : Sécurité des données

Sander Kamstra 16 avril 2021

Payt

D'une idée d'aménagement de grenier à une organisation sérieuse

Je m'appelle Sander Kamstra, cofondateur de Payt. De notre idée née dans un grenier à notre entreprise florissante, je suis régulièrement témoin de situations qui, j'en suis convaincu, façonnent notre culture d'entreprise. À travers cette série d'articles, je souhaite décrire chaque mois une situation révélatrice de notre identité. Je vous offrirai un aperçu de la vie chez Payt. Certains articles auront peut-être un impact limité sur votre situation. Mais si je parviens à éveiller votre curiosité, j'en serai ravi.

Étude de cas : les processus sont plus importants que les résultats

Lors de mon premier emploi dans l'informatique, j'avais une idée précise pour laquelle la sécurité des données constituait un élément essentiel. J'ai donc présenté mon idée à un collègue plus expérimenté, responsable de la sécurité des serveurs et des bases de données. Sa réponse fut simple, et elle reste tout aussi pertinente aujourd'hui :

Pour protéger une base de données contenant des données, il faut y stocker le moins de données possible, n'autoriser que les données sans intérêt et interdire l'accès aux utilisateurs.”

Voici un bon exemple tiré du GGD, il y a quelques semaines.

Il existe aujourd'hui de nombreuses options pour garantir un accès sécurisé aux utilisateurs. Heureusement, car sans utilisateurs, notre logiciel serait quasiment inutile. Chez Payt, nous discutons chaque semaine de nouvelles fonctionnalités qui améliorent considérablement le confort d'utilisation, mais qui impliquent des compromis en matière de protection des données. Nos données sont (malheureusement) suffisamment précieuses pour être intéressantes ; c'est pourquoi nous sommes certifiés ISO 27001. Cela signifie que nous respectons la norme internationale relative aux systèmes de gestion de la sécurité de l'information (SGSI). J'aimerais vous donner un exemple concret des implications de cette certification au sein de l'entreprise.

Nous n'avions que 20 employés lorsque nous avons obtenu la certification. Nous avions beaucoup préparé le terrain et rédigé une politique de sécurité bien pensée. Moins d'un an plus tard, quelqu'un chez Payt a réalisé que ce document devait être connu non seulement des décideurs, mais aussi de tous les employés. La meilleure façon d'y parvenir était de le faire signer par tous. Nous avons donc estimé qu'une clause générale de confidentialité dans le contrat de travail suffisait. Peu après, une liste exhaustive du matériel, des logiciels et des processus utilisés par chaque nouvel employé a été créée (liste d'entrée). Depuis un an, une personne est chargée d'avoir une vue d'ensemble claire de tous les accès. La liste d'entrée a été remplacée par une matrice d'autorisation complète. Pour simplifier les demandes d'accès liées à la sécurité, nous avons un canal Slack dédié

J'avais demandé un accès pour une nouvelle collègue via le access_request . Je voulais l'impressionner par notre réactivité et lui assurer une excellente intégration. Une semaine plus tard, toujours aucun accès. Après vérification, il s'est avéré qu'un développeur avait refusé cette demande car la nouvelle collègue n'avait pas encore signé la politique de sécurité. Peu après, j'ai moi-même reçu un avertissement pour ne pas avoir rempli la matrice d'autorisation.

Il est bien plus difficile de travailler en se concentrant sur les résultats que sur les processus. Il suffit de suivre une procédure écrite. Et si on la suit correctement, on ne risque rien.