Données personnelles : la sécurité, un sujet majeur pour les individus et les entreprises
Mohamed Ali Bensouda.
Directeur de la Branche Prévoyance de la CDGCDG Prévoyance–CNRA–RCAR
CDG Prévoyance–CNRA–RCAR est devenue la première institution de prévoyance sociale au Maroc, et le premier organisme public à l’échelle nationale, à décrocher la certification ISO 27001 version 2017. Mohamed Ali Bensouda, directeur de la branche, revient sur les tenants et les aboutissants de cette labélisation.
Que représente la certification Sécurité des systèmes d’information, récemment obtenue par CDG Prévoyance ?
La Sécurité des systèmes d’information est un enjeu stratégique, au cœur des préoccupations de CDG Prévoyance CNRA-RCAR. L’obtention de la certification ISO 27001 version 2017 constitue donc une étape essentielle de notre stratégie et représente un gage de confiance pour l’ensemble de nos clients et parties prenantes. Ce succès atteste des bonnes pratiques, des mesures de sécurité et de la qualité des procédures mises en place par CDG Prévoyance afin de tenir les engagements pris auprès de ses clients, visant à garantir un haut niveau de sécurité dans le traitement de leurs informations sensibles, en phase avec les exigences requises, notamment en matière de conformité aux lois et règlements, ayant trait à la sécurité. Autrement dit, cette certification, délivrée par le Cabinet Certi-Trust, vient renforcer notre engagement relatif à la gouvernance de notre patrimoine numérique et la maitrise des risques liés à la sécurité de l’information, à travers la mise en place d’un Système de management de la sécurité de l’information (SMSI) utile et efficace, érigé sur la base d’une norme internationale de référence. CDG Prévoyance devient ainsi la première institution de prévoyance sociale au Maroc, et le premier organisme public à l’échelle nationale, à se doter de la norme ISO 27001 version 2017, lui permettant ainsi d’assurer la disponibilité, la confidentialité et l’intégrité de ses informations durant la totalité du cycle de vie des données relatives aux différents régimes de retraite et fonds de solidarité gérés et portés par la CNRA et le RCAR, ainsi que de multiples produits et services, au profit d’un million de citoyens.
Justement, comment vous assurez-vous concrêtement de la sécurité des informations sensibles ?
La protection de l’information est souvent perçue par les organisations comme une problématique contraignante à laquelle il est nécessaire de répondre par des solutions humaines et techniques. En fait, la dimension humaine occupe une place centrale et nécessite une vigilance particulière, notamment à travers une sensibilisation et une veille continue de la sécurité de l’information, de la part des collaborateurs, quel que soit leur niveau hiérarchique, pour favoriser le développement d’une culture de la protection de l’information. La sensibilisation des collaborateurs apparaît ainsi comme le premier levier de défense contre le vol et la fuite de données sensibles. Pour ce faire, nous avons élaboré une politique de prévention adaptée, consistant en des formations régulières, et la diffusion d’une charte de sécurité informatique, centrée sur les bons gestes et les mesures de précaution adaptées. S’agissant du volet technique, nous avons mis l’accent sur la mise en place des solutions techniques, des bonnes pratiques et des mesures pertinentes afin de renforcer la sécurité multi-couches de CDG Prévoyance et ce, en couvrant le périmètre, le réseau, les machines, les applications, les données, la sécurité physique ainsi que les audits et les veilles sécurité relatives à nos systèmes d’informations.
Qu’en est-il de la protection des données personnelles de vos clients ?
La sécurité des données personnelles constitue, de nos jours, un sujet majeur pour l’ensemble des individus et des organismes. Il devient vital, pour ces derniers, de fournir à leurs clients et utilisateurs des garanties à ce sujet, via des certifications, à l’instar de celle récemment obtenue. C’est la confirmation que nous avons mis en place des mesures de protection adaptées et efficaces pour garantir leur confidentialité, leur intégrité et leur disponibilité, dans un contexte où l’utilisation des nouvelles technologies, la circulation rapide de l’information et la connectivité accrue des utilisateurs, via les smartphones, fragilise notre système d’information, et le rend de plus en plus vulnérable. Par cette certification, nous attestons donc que nous maîtrisons les risques concernant l’accès aux données personnelles de nos clients et la gestion des flux des informations collectées les concernant. Nous leur adressons, ainsi, un message fort, à travers lequel nous les rassurons quant à la robustesse de notre système de management de la sécurité de l’information, à un moment où les menaces de cyberattaques et de violation des données personnelles vont crescendo.
Quelles sont les spécificités de votre certification ou de votre SMSI par rapport à votre écosystème ?
CDG Prévoyance a investi, dès le départ, dans la mise en place d’un système de management intégré (SMI) présentant les capacités de fournir aux utilisateurs un seul outil ou worflow de travail, leur permettant de répondre aux exigences, pas uniquement du SMSI, mais aussi des autres référentiels qualité et normes internationales, notamment ISO 9001. Par ailleurs, cet outil permet de fournir un espace pour l’optimisation des activités exigées dans le cadre du SMSI, en bénéficiant de la maturité et la richesse documentaire de notre SM, avec l’adoption de la même démarche préconisée dans le cadre de la mise en place des référentiels et norme qualité, à savoir la roue de Deming de gestion de la qualité, dite PDCA (plan-do-check-act). Outre la mise en place d’une protection en profondeur, basée sur des dispositifs de sécurité multi-couche permettant de maîtriser les risques de cyberattaques, CDG Prévoyance a conçu également une organisation basée sur des comités et instances de gouvernance, et mis en place des correspondants sécurité représentant toutes les directions ainsi que les responsables opérationnels de traitement des mesures de sécurité en vigueur. La distinction de notre certification est également assurée, non seulement du fait que nous sommes le 1er organisme de prévoyance sociale certifiée au Maroc, mais également par le fait d’élargir la couverture de notre système de management de la sécurité de l’information à l’ensemble de nos activités, produits et services. Aussi, et afin d’assurer la continuité de nos activités, le périmètre de notre certification a été étendu de manière à couvrir l’ensemble des informations et des systèmes de CDG Prévoyance, au niveau du siège, considéré comme étant son site primaire et de son site de secours, hébergé à Casanearshore, au sein de DXC Maroc, filiale du Groupe CDG. Enfin, et pour maitriser davantage les risques liés aux cyberattaques, nous avons mis en place l’ensemble des mesures et contrôles préconisés au niveau de l’annexe A de la norme ISO 27001, afin d’assurer également la conformité aux lois et règlements imposés par l’autorité nationale de la cyber sécurité, à savoir la Direction générale de la sécurité des systèmes d’information «DGSSI», relevant de l’Administration de la défense nationale.
Compte tenu du nombre de certifications dont vous disposez, considérez-vous la conformité aux normes mondiales comme la garantie d’un meilleur service client ?
Les normes nous aident à veiller à ce que nos parties prenantes et nos clients en particulier, reçoivent les services auxquels ils s’attendent, et ce, dans les délais prévus, ce qui est primordial pour leur satisfaction. Nous avons envisagé l’obtention de ces certifications pour de nombreuses raisons. À commencer par l’amélioration du contrôle de qualité et l’uniformité des produits. Les normes ISO et les autres requièrent souvent la mise en oeuvre d’un système de contrôle qualité rigoureux pour les produits et les services à la clientèle. Un tel système permet de nous assurer que nos clients voient leurs demandes traitées à temps, et que celles-ci sont complètes. Nous réalisons des économies conséquentes, car nous ne faisons pas de travail redondant, et nous pouvons identifier et cerner la cause des problèmes éventuels. Nous voulions ensuite perfectionner la gestion des réclamations. Une gestion efficace des réclamations de nos clients est importante pour assurer leur satisfaction. Elle nous permet aussi de recueillir des renseignements utiles pour améliorer l’image de notre institution. Les normes, ISO et autres, exigent la mise en place préalable d’un système d’enregistrement des plaintes des clients et leur évaluation régulière pour nous permettre d’améliorer nos opérations. Il nous fallait aussi progresser en matière de suivi des besoins des clients. Certaines normes requièrent la mise en place d’un système de suivi constant de ces besoins et leur niveau de satisfaction. Ceci peut inclure le lancement de sondages réguliers auprès de nos clients, le suivi des demandes de règlement et la surveillance des médias sociaux. L’examen de ces données peut nous aider à modifier nos produits pour qu’ils répondent mieux aux besoins de notre clientèle, et nous amener à utiliser de nouvelles technologies, tout en améliorant notre relation avec cette dernière. Nous avons, par ailleurs, contribué à bâtir une équipe totalement axée sur la clientèle. Le respect des normes, au sein de CDG Prévoyance, favorise en effet une approche centrée sur la clientèle. Les processus de certification rallient toute l’équipe, des gestionnaires aux chargés de clientèle en première ligne, et assurent le déploiement d’efforts constants, en vue de satisfaire la clientèle. Nous avons enfin davantage renforcé la sécurité de nos systèmes d’information, notamment à travers la mise en place d’un SMSI basé sur un ensemble de politiques, procédures et dispositifs organisationnels et techniques, pour la protection de la confidentialité, l’intégrité et la disponibilité du patrimoine informationnel. Ce système confère aux parties intéressées l’assurance que les risques liés aux systèmes d’information, notamment les données sensibles opérées par CDG Prévoyance, sont gérés de manière adéquate et conforme aux exigences et bonnes pratiques en vigueur.
Les autres certifications internationales de référence de CDG Prévoyance
CDG Prévoyance détient une multitude de certifications internationales. Ces distinctions récompensent les efforts fournis par CDG Prévoyance, entamés il y a plusieurs années, en vue de la modernisation globale de toutes ses composantes. Ils couronnent sa capacité à appliquer les meilleurs référentiels dans le domaine de la prévoyance, garantissent à ses clients et parties prenantes que ses services sont conformes aux standards internationaux, attestent de l’excellence de ses processus ainsi que son engagement pour leur amélioration continue, et consolident davantage encore son rôle de «tiers de confiance» de l’État. Il s’agit de :
– Certificats AISS, pour le TQM et pour le zéro papier en 2009 ;
– Double certification ISO 9001 V 2015, couvrant l’ensemble des produits et services, et renouvelée en 2021 et certification OHSAS 18001 version 2007 du système santé et sécurité au travail 2016 ;
– Certificat de mérite, avec mention spéciale du jury, pour le processus d’intégration des Caisses internes de retraite des établissements publics, en 2017 ;
– Certificat de mérite avec mention spéciale du jury, pour la plateforme gestion de CDG Prévoyance en 2017 ;
– Trois certificats d’excellence pour les lignes directrices de l’AISS en matière de Qualité des Services, Technologie de l’Information et de la Communication et Bonne Gouvernance, en 2020 ;
– Certification Internationale ISAE 3402 type II, attestant de l’efficacité opérationnelle et du bon fonctionnement du dispositif de contrôle interne mis en œuvre pour sa ligne métier «Investissements» des régimes de retrait et fonds de solidarité.
Moulay Ahmed Belghiti / Les Inspirations ÉCO
