Dans l’édition de logiciel télécom, la sécurité et la conformité au RGPD sont devenues des priorités stratégiques. Pour explorer ces enjeux cruciaux, nous avons interviewé Fred Belemba, notre RSSI, pour discuter de la structuration et formalisation des processus de sécurité.
RSSI : un rôle clé dans l’organisation
« Avant mon arrivée chez IT-Development, l’entreprise disposait déjà de nombreux processus de sécurité. Ceux-ci demandaient toutefois à être réorganisés. Mon rôle ici est donc de schématiser et formaliser ces processus en vue d’obtenir des certifications garantissant à nos clients la protection des intérêts de leur organisation face à la montée des menaces sur les infrastructures télécoms « , explique Fred.
L’importance cruciale de la sécurité dans les télécoms
Dans un monde hyperconnecté, la sécurité, cyber et physique, est primordiale pour les éditeurs de logiciels et les entreprises télécoms. « En tant qu’éditeur de ClickOnSite, nous travaillons à l’échelle mondiale, et la confiance digitale est essentielle. Les opérateurs de réseaux mobiles et towercos doivent avoir confiance en nous pour pouvoir travailler de manière optimale « , souligne notre RSSI.
En effet, les acteurs des télécom traitent des volumes énormes de données sensibles, comprenant des informations personnelles et professionnelles critiques. Une violation de ces données peut entraîner des pertes financières significatives, des poursuites judiciaires et une perte de confiance des clients. Les réseaux de télécommunications sont également des infrastructures critiques pour un pays, supportant des services essentiels comme les communications d’urgence et les services financiers.
La sophistication croissante des cyber-attaques, ainsi que la nécessité de respecter des réglementations strictes comme le RGPD, imposent aux éditeurs de logiciels comme nous de renforcer constamment nos mesures de sécurité. « Un incident de sécurité pourrait nuire gravement à notre réputation et celle de nos clients, c’est pourquoi nous mettons en œuvre les mesures adaptées pour le prévenir « , ajoute Fred.
Stratégies et mesures de sécurité
Nous avons fait réaliser un audit par un cabinet spécialisé, pour compléter les mesures de protection déjà existantes pour la production de nos logiciels et la sélection des solutions et prestataires qui interviennent dans nos processus. « Nous utilisions déjà des outils de scan de vulnérabilité et des tests de pénétration pour identifier et corriger les failles potentielles « , précise notre RSSI.
L’audit a permis d’identifier des actions complémentaires, par exemple sur les processus RH, la gestion documentaire, la protection des locaux et du parc informatique. Des solutions de gestion centralisée de la sécurité ont été sélectionnées et sont en cours de déploiement. « Le SIEM (Security Information and Event Management) permet de surveiller un périmètre très large et de faire remonter efficacement les incidents ou non conformités. Cependant, il faut des compétences et des moyens pour assurer un suivi qualitatif « , explique-t-il.
La conformité RGPD : un impératif pour les éditeurs de logiciels
Non seulement obligatoire en Europe, la conformité au RGPD est aussi cruciale pour maintenir la confiance des clients. « Les opérateurs possèdent beaucoup de données sur leurs utilisateurs, et il est impératif de les anonymiser. De notre côté, nous disposons de nombreuses données confidentielles sur nos clients. Il est donc nécessaire de s’armer de prudence et de processus sécurisés », insiste notre RSSI.
Les principales exigences du RGPD incluent la sécurisation du stockage des données, la limitation de l’accès aux données et la justification de la finalité des traitements. « En général, les défis incluent l’identification précise des finalités des données traitées, la détermination des données récupérables et l’anonymisation des données pour protéger les droits et libertés. Dans le cas de ClickOnSite, la finalité des données traitées ne nécessite pas de traitement particulier du point de vue RGPD la plupart du temps », explique-t-il.
Gestion des données et confidentialité
Pour assurer la protection des données personnelles dans le cadre du RGPD, ITD a ainsi cartographié les données, offrant une bonne visibilité sur les données traitées. « Ce projet est en cours et reste actuellement confidentiel », mentionne notre service SI. Mais les demandes de droits des utilisateurs (accès, rectification, suppression) sont gérées via des procédures documentées complexes, incluant les étapes d’identification, d’analyse de la demande et de réponse.
Vision et avenir de la cybersécurité dans les télécoms
L’avenir de la cybersécurité dans les télécoms sera marqué par la sophistication croissante des attaques et des nouvelles défenses. « Selon moi, l’intégration rapide de l’intelligence artificielle et du machine learning permettra une analyse plus précise des menaces », anticipe Fred. En parallèle, le déploiement de la 5G et l’augmentation continue de l’Internet des objets (IoT) introduiront de nouvelles vulnérabilités, nécessitant des normes de sécurité rigoureuses.
« En tant qu’éditeur de logiciels, nous devrons impérativement anticiper des menaces émergentes, comme les attaques basées sur l’IA, et développer des contre-mesures efficaces. Acteurs des télécoms, confiez cette mission à de vrais spécialistes en interne ou en externe, car la sécurité est une expertise à part entière ! », conseille notre RSSI aux opérateurs et towercos débutant dans l’intégration de la sécurité et de la conformité RGPD.
La sécurité et la conformité RGPD ne doivent pas être sous-estimées. « Le RGPD est un outil essentiel pour la protection des données personnelles, offrant des directives pour garantir une gestion optimale des données traitées », rappelle Fred.
Pour l’avenir, ITD envisage d’obtenir et de maintenir la certification SOC 2, renforçant ainsi la confiance digitale avec ses clients et partenaires. Dans un environnement de télécommunications en constante évolution, rester à la pointe de la sécurité est indispensable pour protéger les infrastructures critiques et les données sensibles.