Les fonctions Alpega TMS sont principalement utilisées comme logiciel en tant que service. Cela confère à Alpega TMS une responsabilité particulière en ce qui concerne le traitement des données clients. Afin d'éviter les pertes et les risques liés à la responsabilité, nous mettons en œuvre notre système de sécurité des informations conformément à la norme internationale ISO/IEC 27001:2005. Tous les documents, processus et procédures doivent être structurés, mis en œuvre, surveillés et améliorés suivant cette norme. L'objectif de toutes ces mesures est de garantir la confidentialité, l'intégrité et la disponibilité des informations.
Les objectifs d'Alpega TMS en matière de sécurité sont les suivants :
- assurer la stabilité et la haute disponibilité des systèmes informatiques
- éviter toute perturbation majeure dans la communication et les interfaces informatiques avec les clients et les partenaires commerciaux
- garantir la confidentialité, l'exactitude et l'intégrité des données clients et de l'entreprise
- respecter les dispositions et réglementations légales, ainsi que les réglementations contractuelles et autres réglementations pertinentes
Depuis que nous avons décidé d'adopter la norme ISO 27001, de nombreuses exigences concernant celle-ci ont été mises en œuvre. Nous avons chiffré les données, introduit des directives de sécurité et une surveillance plus stricte, et avons mis en place des mesures de sécurité dans les centres de données. TÜV Rheinland i-sec aide Alpega TMS dans ces efforts et fournit également des conseils et une assistance de la part d'experts pour préparer le prochain audit préliminaire.
Les changements les plus importants sont d'ordre organisationnel. Il s'agit notamment de nouveaux rôles et responsabilités. Les rôles et droits d'utilisateur garantissent que seuls les utilisateurs autorisés peuvent accéder aux zones spécifiques dont ils ont besoin pour leur travail quotidien. Nous avons redéfini le processus d'octroi des droits et des droits d'accès eux-mêmes dans Alpega TMS et introduit des workflows d'autorisation. Par exemple, les administrateurs de bases de données ne peuvent plus consulter les données, ce qui limite davantage le nombre de lecteurs pour une sécurité accrue. Les modifications sont consignées chaque fois que d'autres utilisateurs disposant des droits correspondants accèdent à des données productives.
La sensibilisation est essentielle
En tant que fournisseur de cloud computing, Alpega TMS doit garantir la sécurité des informations et la protection des actifs en réduisant le risque d'erreur humaine, de vol, de fraude ou d'utilisation abusive des installations. C'est pourquoi nous avons créé une équipe ISMS (Information Security Management System Team, ou équipe chargée du système de gestion de la sécurité des informations), dirigée par un responsable de la sécurité des informations et un coordinateur de la sécurité des informations. Ils surveillent de près la sécurité des informations chez Alpega TMS-logistics, développent des directives et des concepts de sécurité adaptés aux besoins d'Alpega TMS-logistics et les coordonnent avec la direction et TÜV Rheinland i-sec. Cependant, à certains égards, leur plus grand défi est de susciter une prise de conscience envers la sécurité, de sensibiliser chaque employé à ce sujet et de faire en sorte que chacun chez Alpega TMS s'en rappelle à tout moment. Chaque employé doit être conscient des menaces qui pèsent sur la sécurité des informations et disposer des outils adéquats pour soutenir la politique de sécurité de l'organisation.
« Notre défi consiste à sensibiliser tous les employés à l'importance de la sécurité des informations. Les bases de données chiffrées ou les droits d'accès stricts ne sont pas utiles si les impressions sont laissées sur l'imprimante, si les portes restent ouvertes, si les appels téléphoniques sont passés dans les espaces publics ou si les écrans d'ordinateur portable sont visibles par d'autres personnes. Les employés sensibilisés signalent activement les lacunes et constituent la meilleure source de suggestions d'amélioration. » (Rene Leimegger, responsable de la sécurité des informations)
Cette sensibilisation sera renforcée à l'avenir par des séminaires réguliers et des audits internes. D'autres questions, telles que des dispositions contractuelles plus strictes pour la gestion des fournisseurs et d'autres améliorations techniques, seront abordées dans le cadre du processus de certification recherché. Début 2022, le siège d'Alpega TMS sera déplacé dans de nouveaux locaux. Le nouveau bureau représente également un nouveau défi en matière de sécurité. L'accès sécurisé est un problème important qui doit être assuré par une combinaison de mesures diverses (portes avec alarmes, enregistrements vidéo, systèmes de contrôle d'accès électronique, etc.).