Des services mesurés et facturés à l’usage, la mise en commun de ressources, les libre-service d’applications... la tendance technologique des années 2010 séduit les directions achats. Cependant, avant de faire voyager les données achats sur le « nuage » et de se laisser tenter par les promesses de coûts maitrisés, il faut encore lever les craintes liées à la protection et la propriété des données. En effet, la sécurité et la confidentialité, reste à 44% (selon le cabinet Pierre Audoin Consultant)la première réticence exprimée par les directeurs des systèmes d’information ou les responsables des systèmes d’information vis à vis des applications « Saas » et du Cloud Computing.
Une affaire de confiance
Choisir de déléguer à un tiers tout ou partie de ses processus achat, est avant tout une question de confiance. Aujourd’hui, les experts en sécurité des systèmes d’information s’accordent sur le fait que c’est justement en externalisant ses données sur un « cloud » externe à l’entreprise que l’on réduit l’exposition des données sensibles. En effet, les spécialistes du Clusif, indiquaient lors d’une récente conférence sur la sécurité du Cloud computing que l’homogénéité des data centers choisis par les prestataires SAAS (Software as a Service) pour héberger leurs plate-forme, simplifie l’audit et les tests de sécurité, permettent une gestion automatisée de cette sécurité, sans parler des très bons taux de disponibilité ou encore de la récupération des données en cas de sinistre. Chez les hébergeurs du nuage, la donnée achat est avant tout une donnée « métier » : elle bénéficie donc de toute la palette des mesures techniques de chiffrement lors de son échange, d’un accès sécurisé... le tout étant - le prestataire s'en porte garant - « à l’état de l’art » du moment. Ainsi avec l'engouement actuel pour la mobilité, l’authentification des accès aux applications via les smartphones est un sujet qui entraine chez les offreurs des mises à niveau de sécurité importantes et une vigilance accrue. Autre argument favorable à l'externalisation : le risque interne de détournement d’information est moindre sur des sites informatiques multi-clients, car les ressources techniques détectent moins aisément la véritable valeur des informations qui circulent dans les applications et sont donc moins enclins à les divulguer.
Plus sûr que les offres sur papier
Généralement, les risques d’intrusions ciblées sur les données achats sont minimes. En matière de veille concurrentielle les données commerciales sont nettement plus stratégiques."Cependant lorsque les acheteurs font appel à des plates-formes externes pour la gestion d’appel d’offres ou l’organisation d’enchères inversées, ils ont le devoir de garantir à leurs fournisseurs la confidentialité de leurs données. Et se renseigner sur la manière dont le prestataire assure l’étanchéité des flux, en particulier lors des consultations en temps réel" rappelle Alain Alleaume, consultant du cabinet de conseil Achats et SI Achats, Altaris.
Dans le cadre de la plate-forme dématérialisée des marchés publics, la loi a défini des règles d’accès draconiennes pour assurer l’intégrité et la confidentialité des flux échangés. Un certificat garantit l’identité du soumissionnaire habilité à engager l’entreprise, les flux échangés sont chiffrés et l’horodatage assure que l’offre n’a pas été modifiée frauduleusement. "La sécurité des données est effectivement mieux garantie qu’en version papier" affirme Céline Faivre, directrice du syndicat mixte e-Megalis Bretagne qui fournit des services d’e-administration aux collectivités locales bretonnes.
Une seule base, plusieurs compartiments
Sur les plates-formes de type « purchase to pay », les informations sont toutes très confidentielles puisqu’elles couvrent la totalité du cycle de l'achat. Les précautions à prendre concerneront essentiellement l’organisation de la base de données où sont enregistrées les données de l’ensemble des clients. « Nous avons choi