Votre fournisseur de services de paie assure-t-il la sécurité des données des clients?

Comment choisir un partenaire fiable pour le traitement de la paie : un guide à l’intention des comptables et des aides-comptables

Points clés à retenir

Lorsqu’on choisit un fournisseur de services de paie, il y a de nombreux éléments à prendre en compte. Les logiciels, le service à la clientèle, si la plateforme est facile à intégrer, l’évolutivité, sans oublier le prix et votre budget. Cependant, il y a quelque chose d’aussi important (sinon plus) que toutes ces fonctionnalités… la sécurité de la plateforme.

Pour les comptables et les aides-comptables, il est essentiel d’évaluer la sécurité. Les cinq aspects les plus importants pour une plateforme sécurisée sont les suivants : Localisation des données au Canada, normes de chiffrement, pratiques en matière de sécurité des applications, surveillance du réseau et authentification multifactorielle. Poursuivez votre lecture pour en savoir plus sur la signification de chacun de ces aspects, sur les questions à poser à votre fournisseur de services de paie et sur la manière dont Payworks peut vous aider.

Dans cet article

1. Votre fournisseur de services de paie stocke-t-il ses données au Canada?
2. Comment votre partenaire devrait-il chiffrer les données de vos clients?
3. À quoi ressemble une bonne sécurité des applications dans un logiciel de traitement de la paie?
4. Comment une entreprise de traitement de la paie doit-elle protéger son propre réseau?
   
5. Votre logiciel de paie devrait-il intégrer l’authentification multifactorielle?
   

En tant que comptable ou aide-comptable, on vous confie certaines des données les plus sensibles et les plus personnelles de vos clients, et nous sommes certains que vous ne prenez pas cette responsabilité à la légère! Mais compte tenu de l’évolution fulgurante des menaces de cybersécurité (et des bonnes pratiques pour s’en prémunir), il peut être difficile de savoir ce qu’il faut rechercher chez un partenaire, au-delà de la simple promesse qu’il protégera les données de vos clients.

SI vous êtes prêt à creuser davantage le sujet, il y a cinq fonctionnalités de sécurité clés qui vous aideront à évaluer à quel point un partenaire est digne de confiance pour assurer la sécurité de vos informations et de celles de vos clients.

1. Votre fournisseur de services de paie stocke-t-il ses données au Canada?

C’est une indéniable réalité : votre fournisseur de services de paie devrait stocker les données dans des centres de données situés au Canada. En vertu des lois fédérales et provinciales canadiennes sur la protection de la vie privée, les données personnelles transférées à l’étranger doivent respecter des exigences strictes en matière de protection. Choisir un fournisseur dont les données sont hébergées au Canada permet à votre entreprise de rester en conformité et de réduire les risques liés à la vulnérabilité transfrontalière.

Dans le cadre de sa collaboration avec vous, votre partenaire sera inévitablement amené à transférer des données contenant des informations personnelles et des informations des clients vers un centre de données à des fins de stockage ou de traitement. Même si l’emplacement physique de ce centre de données peut sembler, à première vue, sans importance pour votre processus de décision, il s’agit en réalité d’un élément crucial à prendre en compte du point de vue de la confidentialité et de la responsabilité.

Une organisation risque non seulement de perdre la confiance de ses clients, mais aussi de se voir infliger de lourdes amendes si elle ne veille pas à ce que les données personnelles soient protégées de manière adéquate, conformément à la législation canadienne en vigueur, lors d’un transfert hors du territoire canadien. Par conséquent, le fait de collaborer avec un partenaire qui héberge ses bases de données dans des centres de données situés au Canada peut vous aider à respecter la législation canadienne en matière de protection de la vie privée.

2. Comment votre partenaire devrait-il chiffrer les données de vos clients?

Il ne fait aucun doute qu’un fournisseur de services de paie doit chiffrer toutes les données de ses clients, tant au repos qu’en transit, en utilisant les protocoles de chiffrement les plus avancés du secteur. Idéalement, la base de données de chaque client devrait être chiffrée de manière unique, afin qu’une violation de l’une d’entre elles ne compromette pas les autres.

Le chiffrement des données est l’un des meilleurs moyens d’empêcher tout accès par des utilisateurs non autorisés. Concrètement, cela rend les informations de vos clients inutilisables pour quiconque tenterait d’y accéder sans la clé de chiffrement hautement sécurisée qui « déverrouille » (ou déchiffre) les données.

3. À quoi ressemble une bonne sécurité d’application dans un logiciel de traitement de la paie?

Un rappel pour ceux qui en douteraient : la sécurité des applications ne doit pas être reléguée au second plan! Une bonne sécurité des applications est intégrée dès le début de la conception au logiciel, et non ajoutée après coup.

Cherchez des fournisseurs qui testent rigoureusement leurs applications (à la fois à l’aide d’outils automatisés et de testeurs humains) tout au long du développement et qui continuent à effectuer des tests de sécurité une fois le logiciel mis en service. Ainsi, lorsqu’il parvient à l’utilisateur final (c’est-à-dire vous!), vous pouvez être sûr qu’il a passé avec succès des tests réalisés dans toutes sortes de conditions. Rien n’a été laissé au hasard.

Mais comme nous l’avons déjà mentionné, le paysage de la cybersécurité évolue à une vitesse fulgurante… il est donc tout aussi important de tester et de protéger régulièrement la sécurité des applications, même après le lancement d’une solution. Cherchez un partenaire qui propose les deux!

4. Comment une entreprise de traitement de la paie doit-elle protéger son propre réseau?

Un fournisseur de services de paie digne de confiance surveille, teste et met à jour en permanence la sécurité de son réseau – et est en mesure d’expliquer comment il procède. Tout comme pour la sécurité des applications, votre partenaire doit également faire preuve de discernement en matière de surveillance, de tests et de protection de son propre réseau. Il devrait disposer d’une équipe compétente d’experts en sécurité et de ses propres partenaires, qui l’aide à évaluer l’état de la sécurité de leur réseau et à mettre en œuvre les améliorations nécessaires. N’hésitez pas à lui demander comment il gère cela en interne.

En prime : a-t-il fait l’objet d’un audit SOC 2 de type 2?

Lorsqu’un partenaire vous affirme que la sécurité est une priorité, il est normal de vouloir savoir s’il a des preuves à l’appui de ses affirmations. La bonne nouvelle, c’est qu’il existe un moyen fiable et objectif d’obtenir cette assurance. Demandez à votre partenaire s’il a fait l’objet d’un audit SOC 2 de type 2 (contrôles du système et de l’organisation). Contrairement à une certification ponctuelle, un rapport SOC 2 de type 2 rend compte de la performance continue des contrôles de sécurité d’un fournisseur sur une période prolongée, généralement de six à douze mois, telle qu’évaluée par un organisme tiers indépendant.

Pour les comptables et les aides-comptables chargés de gérer des données sensibles de clients à travers multiples comptes, ce type de responsabilité continue et vérifiée est un signe fort qui montre que votre partenaire prend ses responsabilités avec autant de sérieux que vous prenez les vôtres.

5. Votre fournisseur de services de paie prend-il en charge l’authentification multifactorielle et l’authentification unique (SSO)?

 C’est un point important. Oui, nous entendons d’ici vos soupirs d’impatience… et oui, nous savons que l’authentification multifactorielle (AMF) ajoute une étape supplémentaire. Mais cela en vaut la peine; comme l’AMF demande aux utilisateurs qu’ils vérifient leur identité par d’autres moyens qu’un simple mot de passe, c’est l’un des moyens les plus efficaces d’empêcher tout accès non autorisé aux données de paie de vos clients, et tout fournisseur digne de confiance devrait proposer cette solution. 

 En fait, c’est le conseil numéro un que Michael Baldon, analyste de la sécurité de l’information chez Payworks, donne à nos lecteurs : « Activez l’authentification multifactorielle partout où c’est possible. Vraiment partout. Ne laissez jamais passer l’occasion. Et même avec ça, continuez de réfléchir avant de cliquer! » 

Croyez-nous, les quelques secondes supplémentaires qu’il faudra pour se connecter en valent vraiment la peine! Et si vous n’êtes pas encore tout à fait convaincu, jetez un œil à ce que Pensez cybersécurité (la campagne nationale de cybersécurité du gouvernement du Canada) en dit!

Pour les entreprises ayant des exigences d’authentification plus strictes, il est utile de vérifier si votre partenaire utilise également l’authentification unique (SSO). L’authentification unique (SSO) vous permet d’étendre les politiques d’identité et d’accès de votre organisation directement à votre plateforme de paie, de sorte que vos normes de sécurité existantes s’appliquent, plutôt que de devoir adopter un ensemble distinct de conditions de connexion.

Questions fréquentes

En quoi consiste la résidence des données et pourquoi est-elle importante pour le traitement de la paie au Canada?

La résidence des données désigne l’emplacement physique où vos données sont stockées et traitées. Pour les entreprises canadiennes, cela revêt une importance particulière, car les lois fédérales et provinciales sur la protection de la vie privée, notamment la LPRPDE, exigent que les renseignements personnels soient protégés de manière adéquate. Le stockage des bases de données clients par un fournisseur dont les serveurs sont situés au Canada permet de garantir la conformité et de réduire les risques juridiques transfrontaliers.

Qu’est-ce que l’authentification multifactorielle, et mon fournisseur de services de paie devrait-il l’exiger?

L’AMF est un processus de connexion qui demande aux utilisateurs de vérifier leur identité à l’aide d’au moins deux méthodes, généralement un mot de passe associé à un code envoyé sur leur téléphone ou par courriel. Le Centre canadien pour la cybersécurité et Pensez cybersécurité considèrent tous deux l’authentification multifactorielle (AFM) comme l’un des moyens de défense les plus efficaces contre les accès non autorisés; donc oui, votre fournisseur de services de paie devrait la proposer!

Comment savoir si un fournisseur de services de paie prend la cybersécurité au sérieux?

Notre conseil numéro un : demandez une documentation. Un fournisseur soucieux de la sécurité aura publié une présentation générale de sa politique de sécurité et de gouvernance, disposera d’une équipe de sécurité clairement identifiée et fournira des réponses précises concernant le chiffrement des données, la disponibilité de l’AMF, les procédures de test des applications et l’emplacement physique de stockage de vos données.

Vous souhaitez savoir comment Payworks répond à ces besoins? Téléchargez dès aujourd’hui notre document sur la sécurité et la gouvernance : https://www.payworks.ca/fr/landing-pages/campaigns/brochure-de-sécurité-et-gouvernance.