La protection des données est un enjeu majeur pour les entreprises et elle peut fortement impacter leur rentabilité en cas de fuite de données. Sans une protection adéquate, les entreprises s’exposent à un risque d’attaques telles que les hameçonnages, les logiciels rançonneurs ou les attaques par déni de service distribué, qui peuvent engendrer des surcoûts élevés. En 2020, un quart des PME suisses déclarait avoir été victime d'une cyberattaque grave, dont plus d’un tiers ont subi des dommages financiers et/ou une atteinte à la réputation ou au portefeuille de client (gfs-zürich, 2021). Malgré cela, la digitalisation constitue toujours un facteur de hausse de la compétitivité et de réduction des coûts, notamment en permettant des modes de travail à distance. L’assistance virtuelle en est un bon exemple ; elle offre de nombreux avantages (consulter notre article sur les avantages de l'assistance virtuelle pour les PME suisses) mais elle implique aussi de partager des données de son entreprise. Pour profiter pleinement des avantages, sans s’exposer à des risques de vols ou de pertes de données, il est donc nécessaire pour les sociétés de mettre en place un concept de protection des données, une maintenance continue du système informatique et des règles d’utilisation à communiquer à tous·tes les collaborateurs·trices externes et internes.
La protection des données et le contrôle des accès au système
Malgré la fréquence des cyberattaques, environ deux tiers des PME suisses ne dispensent pas de formation régulière aux salariés·es et n'ont pas mis en place de concept de protection des données (gfs-zürich, 2021). Ce dernier permet pourtant de protéger efficacement les données en attribuant aux utilisateurs·trices un droit d’accès limité aux seules ressources dont ils·elles ont besoin pour effectuer leurs missions. Il est essentiel d’avoir un avec des mots de passe et des identifiants uniques pour permettre ce droit d’accès personnalisé et garantir la traçabilité en cas de problème (ex : perte ou vol de données). Les systèmes d’accès par authentification à deux facteurs ainsi que les VPN constituent de bonnes solutions pour renforcer le protocole de contrôle des accès. D’autre part, le classement des données selon des niveaux de sécurité permet l’attribution aux différents profils d’un accès progressif aux données en fonction de leur niveau de confidentialité.
Un bon concept de protection devrait prendre en compte les assistants·es virtuels·les et autres intervenants·es externes. Un·e assistant·e virtuel·le qui a pour mission la création d’articles pour le blog de l’entreprise, aura par exemple un grade d’éditeur·trice pour le blog, mais ne sera pas en mesure d’apporter des modifications au reste du site internet. La majorité des logiciels et des plateformes de stockage permettent la gestion de profils et l’attribution de privilèges. Cependant, les entreprises disposant de moyens financiers limités ont malheureusement tendance à partager un compte utilisateur entre plusieurs collaborateurs·trices internes et externes.
L’accès à certaines données hautement sensibles telles que les données financières ou les moyens de paiement devrait être encadré par des processus de validation. Une entreprise peut, par exemple, autoriser un·e assistant·e virtuel·le à payer les frais de publicité en ligne en fixant une limite mensuelle des dépenses et en demandant un rapprochement entre les factures et les relevés de la carte de crédit. D’autre part, il faut s’assurer que les institutions financières des pays dans lesquels sont basés·es les assistants·es virtuels·les aient mis en place une politique solide de répression des fraudes ou que l’activité soit encadrée par une entreprise ou une plateforme responsable en cas de problème.
La maintenance continue du système informatique et la formation
Les applications utilisées par vos employés·es et vos assistants·es virtuels·les dépendent d’infrastructures informatiques comprenant entre autres des serveurs, des ordinateurs, des pare-feux et des protocoles de contrôle des accès qui fonctionnent ensemble pour garantir un réseau sécurisé. Toute défaillance du système ou attaque contre l'infrastructure informatique de l'entreprise peut entraîner des temps d'arrêt informatiques importants et des pertes de données. Il est donc essentiel de maintenir ses infrastructures en faisant effectuer des mises à jour logicielles et matérielles par des spécialistes.
La sensibilisation et la formation des utilisateurs·trices aux cyber-risques et aux bonnes pratiques est néanmoins la meilleure garantie de sécurité. Plus de 65% des fuites de données en entreprise sont causées par les vols d'informations d'identification, les attaques sociales qui visent à manipuler des utilisateurs·trices et des erreurs humaines (Verizon, 2020). Le facteur humain étant le plus important, il est donc fortement recommandé de former vos assistants·es virtuels·les aux bonnes pratiques, d’autant que ce mode de travail est fréquemment pratiqué par des professionnels·les indépendants·es. Certaines entreprises spécialisées dans l’assistance virtuelle peuvent vous offrir des garanties supplémentaires, car elles forment leurs employés·es spécifiquement et garantissent le traitement de vos données dans une infrastructure sécurisée.
Les accords de confidentialité et de gestion des droits de propriété
Pour effectuer son travail correctement, un·e assistants·e virtuel·le doit généralement avoir accès à des informations sensibles. Cela peut impliquer des brevets, des documents et d'autres données d'entreprise qui ne devraient pas être rendues publiques. Un accord de confidentialité permet aux parties contractantes de définir quelles informations doivent être traitées de manière confidentielle, mais également lesquelles ne sont pas soumises à l'accord. Cela permet au client d’un·e assistant·e virtuel·le de se protéger contre d’éventuelles fuites en fixant la durée de validité de l'accord de confidentialité et les pénalités à appliquer lorsque l'une des parties ne respecte pas le contrat. Ce type d’accord permet également de fixer le droit de propriété sur le travail effectué pour le compte de l’entreprise. Par exemple, un article pour le blog ne peut pas appartenir à l’assistant·e virtuel·le l’ayant rédigé. Tout comme pour les employés·es internes, l’assistant·e virtuel·le n’a généralement aucun droit de propriété sur le travail effectué pour l’entreprise. Certaines sociétés qui offrent des services d’assistance virtuelle disposent de conditions générales de vente clarifiant les aspects liés à la confidentialité et à la gestion des droits de propriété. Vous bénéficiez ainsi de cette protection automatiquement.
La protection des données ne doit cependant pas constituer un frein à la collaboration avec un·e assistant·e virtuel·le. Recruter un·e assistant·e externe présente les mêmes risques que le recrutement d’un·e collaborateur·trice interne et demande des mesures similaires pour garantir la sécurité et la confidentialité.
Notre ambition sur ce blog est de vous fournir une information de qualité, sans référence directe à nos offres commerciales d'assistance virtuelle. Vous pouvez nous suivre sur les réseaux sociaux ou vous abonner à notre flux RSS pour être informé de nos futures publications.