Dès 2015, nous avions déjà abordé le sujet de la sécurité des données des candidats dans un logiciel de recrutement. Les actualités récentes nous confirment qu’il était temps de rouvrir le dossier.
La nouvelle avait fait l’effet d’une bombe : en 2019, Desjardins révélait avoir été victime de « la plus grande fuite de données personnelles de l’histoire du Québec ». Peu après, Olymel et IGA ont aussi fait « la une » sur le même sujet. Au début de l’année encore, l’Autorité des marchés financiers se disait « préoccupée par 30 cyberincidents déclarés en deux ans ».
Dans ce contexte de montée des menaces liées à nos pratiques numériques et de prise de conscience de nos vulnérabilités, les lignes de défense déjà en place se renforcent, tant du côté de la formation universitaire que du côté des entrepreneurs. Mais qu’est-ce que la sécurité informatique, en réalité ? Et quels sont ses enjeux ?
Sécurité informatique : de quoi parle-t-on ?
Lorsque l’on veut parler de sécurité informatique, on ouvre une porte sur un domaine très vaste qui présente d’innombrables facettes et concerne plusieurs champs d’expertises, à la fois technologique, législatif et éthique.
Concrètement, la sécurité informatique se développe sur trois niveaux de protection :
- La protection physique du matériel et des installations ;
- La protection numérique des données contre la consultation, la modification ou la suppression par une personne non-autorisée à le faire ;
- La sauvegarde des données et leur conservation dans le temps.
Nous pouvons donc, dans le sillage du gouvernement du Québec, définir la sécurité informatique comme « l’ensemble de mesures de sécurité physiques, logiques et administratives, et de mesures d’urgence, mises en place dans une organisation, en vue d’assurer la protection de ses biens informatiques, la confidentialité des données de son système d’information et la continuité de service ». En résumé, toute action menée par une entreprise pour protéger son matériel informatique ou les données qui y sont stockées est une mesure de sécurité informatique.
Sur le plan légal, les questions de sécurité informatique se traduisent par un arsenal législatif grandissant et une volonté de protéger l’utilisateur : Projet de loi 64 au Québec, LPRPDE au Canada. mais encore RGPD en Europe. Leur point commun est de se concentrer sur le second niveau de la sécurité informatique : la protection des données personnelles. Toutes, ainsi, se veulent contraignantes à différents degrés vis-à-vis des entreprises qui récoltent et exploitent les informations personnelles des individus. L’analyse de ces dispositifs législatifs et leurs impacts sur les entreprises fera d’ailleurs l’objet d’un futur article sur ce blogue.
Cybersécurité ou sécurité informatique : quelles différences ?
Souvent, les termes sécurité informatique et cybersécurité sont confondus, considérés comme synonymes. Si les deux concepts sont proches, je pense qu’il convient tout de même d’en présenter les nuances.
Pour faire simple, la cybersécurité est une branche de la sécurité informatique qui concerne les systèmes interconnectés, c’est-à-dire les réseaux. Il s’agit de protocoles, règles et mesures de protections qui visent à prévenir les cyberattaques, c’est-à-dire les attaques en provenance de l’extérieur du réseau.
La sécurité informatique englobe à la fois les menaces liées aux réseaux (virus, cyberattaques…) mais également liées à l’infrastructure informatique et une utilisation frauduleuse du système lui-même.
Les enjeux de la sécurité informatique : pourquoi est-ce important ?
Les exemples récents de fuites de données personnelles sont l’illustration la plus parlante des enjeux liés à la sécurité informatique. Au préjudice légal pour l’entreprise concernée s’ajoute également un préjudice en termes d’image auprès du public : comment avoir confiance en une compagnie qui n’a pas été en mesure de prévenir la fuite de données confidentielles potentiellement sensibles ?
Pour une agence de placement temporaire ou permanent, ce sujet est brûlant. En effet, l’agence de placement collecte des informations confidentielles de la part de candidats mais également de clients avec qui elle fait affaire. Son logiciel de recrutement doit dès lors disposer de mesures de sécurité suffisantes et respecter certaines normes pour s’assurer de la confiance des parties tierces.
Il ne suffit pas ainsi de se prémunir d’un bon antivirus et d’espérer échapper à des attaques malveillantes : au-delà des données confidentielles sensibles (coordonnées bancaires, numéros d’assurance sociale…), un responsable d’agence de placement temporaire et permanent ne voudrait pas non plus qu’un de ses collaborateurs puisse partir avec la liste de coordonnées des clients et démarrer sa propre affaire.
Le logiciel de recrutement de mon agence de placement temporaire ou permanente garantit-il la sécurité des données ?
Quand il s’agit de sécurité, le premier paramètre à prendre en compte lorsque l’on veut évaluer l’efficacité d’un logiciel de recrutement concerne l’accès aux informations stockées. Qui peut y avoir accès ? De quel accès parle-t-on ?
Au sein d’une agence de placement temporaire ou permanent, tous les employés n’utilisent pas les mêmes informations : l’équipe de recruteurs par exemple n’a pas besoin d’avoir accès aux informations liées au paiement. Compartimenter ainsi l’accès aux données est un premier pas important : le logiciel de recrutement de votre agence doit pouvoir permettre la coexistence de plusieurs groupes de sécurité dont les autorisations à l’accès, la modification et l’utilisation de données diffèrent. C’est en particulier le cas en ce qui concerne l’export de données sous forme de tableaux Excel. Pour se prémunir face à tout risque de fuite celui-ci doit lui aussi pouvoir être paramétré, contrôlé et limité.
De plus, il convient d’évaluer le chiffrement (ou encryption en anglais) des données de connexion : les mots de passe des utilisateurs sont-ils bien protégés ? Cela est d’autant plus important dans le cadre des mots de passe de candidats et de clients à leur plateforme personnalisée. Votre logiciel de recrutement doit chiffrer les mots de passe d’une manière qui ne leur permettra pas d’être décrypté. Un candidat a oublié son mot de passe ? Le personnel de l’agence peut réinitialiser celui-ci à l’aide d’un mot de passe temporaire, mais ne pourra jamais retrouver le mot de passe initial, car le logiciel ne l’affichera pas. L’accès aux dossiers et informations d’un candidat ou d’un client sont ainsi protégés tant à l’interne que d’une tentative de connexion frauduleuse externe à l’agence.
Quels avantages de sécurité le logiciel de recrutement offre-t-il par rapport à une solution web ?
Ces mesures sont essentielles, mais sont-elles suffisantes ? Pas forcément ! Dans le cas de données sensibles et confidentielles, deux protections valent toujours mieux qu’une. Ainsi, un bon logiciel de recrutement doit pouvoir assurer une double validation quant à l’accès au système. Cela signifie qu’il doit être possible de paramétrer à la fois les autorisations des utilisateurs mais aussi celles des ordinateurs.
Dans ce registre, les logiciels installés sur un ordinateur offrent un avantage de sécurité majeur par rapport aux solutions concurrentes qui proposent des solutions entièrement connectées sur des serveurs. Dans le cas d’un logiciel de recrutement dont le corps est installé sur un ordinateur, le responsable de la sécurité informatique de l’agence peut contrôler à la fois « qui » se connecte au système, mais également « à partir de quelle machine ».
Si cette solution permet de maîtriser les connexions des utilisateurs, elle n’en délaisse pas pour autant la sécurité apportée au stockage des données sensibles. Ainsi, tandis que l’accès au logiciel est sécurisé par un double protocole de connexion, l’accès aux données bénéficie d’une protection supplémentaire puisque ces données ne sont, quant à elles, pas stockées sur la machine, mais sur des serveurs dédiés et sécurisés.
Les agences de placement temporaire ou permanent qui utilisent le logiciel de recrutement PRIM Logix sont ainsi assurées de bénéficier des meilleures normes de protection possibles en ce qui concerne les données des clients et des candidats.
Retrouvez régulièrement sur notre blogue des informations et conseils en lien avec l’actualité des agences de placement et des nouvelles technologies. De plus, rejoignez-nous sur les réseaux sociaux pour être tenus au courant de nos dernières publications et partager vos expériences. Enfin, abonnez-vous à notre infolettre et ne manquez aucune nouveauté.