Il faut bien garder à l’esprit que les activités des dépenses des collaborateurs représentent une véritable extension des opérations financières de l’entreprise, qui nécessitent des outils à la fois efficaces mais également fiables et conformes aux règlementations en vigueur.
Selon une récente étude Forrester, 72% des décideurs sont préoccupés par la sécurité des données personnelles dans le cadre de leur solution Travel & Expense. 71 % des personnes interrogées dans le cadre de cette étude ont indiqué que l'amélioration de la sécurité et de la protection des données constituait le principal avantage de la mise en œuvre d'une plateforme moderne de gestion des notes de frais et déplacements professionnels 1.
Une solution telle que SAP Concur en mode SaaS limite les risques d’erreur lors de la gestion des notes de frais, fait gagner du temps grâce à sa rapidité de déploiement et ses mises à jour automatiques, tout en améliorant la collaboration et la productivité des collaborateurs. Mais au-delà de ses bénéfices opérationnels, SAP Concur en mode SaaS offre un cadre sécurisé permettant de répondre à deux enjeux critiques pour votre organisation.
• En matière de sécurité des données : Une gestion sécurisée des données sensibles (informations financières et personnelles des employés) réduit le risque de compromissions et renforce la résilience de l'entreprise.
• En termes de conformité aux normes et règlementations (dont le RGPD) : Des mesures techniques et organisationnelles adéquates au niveau de la plateforme SaaS favorisent la conformité aux réglementations locales et internationales en matière de dépenses, de rapports financiers et de traitement des données, ce qui réduit l’exposition aux risques de sanctions règlementaires ou amendes.
Selon une récente étude Forrester, 72% des décideurs sont préoccupés par la sécurité des données personnelles dans le cadre de leur solution Travel & Expense.
Comment évaluer le niveau de sécurité d’un outil SaaS de gestion des notes de frais ?
Lorsque vous évaluez une solution SaaS, il est essentiel de déterminer comment les données stockées dans le cloud seront protégées, mais également d'examiner comment ces données circuleront entre votre logiciel de gestion des notes de frais et vos applications d'entreprise, afin de garantir une intégration fluide et sécurisée.
SAP Concur adopte une approche qui se conforme à des normes rigoureusement examinées. Les solutions de SAP Concur font l'objet d'audits réguliers pour garantir leur conformité aux normes en matière de sécurité des données, de continuité des activités en cas d'incident, de qualité des produits et services, et de confidentialité des informations. Certaines de ces normes méritent une attention particulière.
Identifier les normes de sécurité pertinentes
La norme ISO 27001 représente la référence mondiale en matière de gestion de la sécurité des systèmes d’information. SAP Concur est certifié ISO 27001 et subit de multiples audits chaque année, notamment pour attester de sa conformité aux normes de sécurité des données de l’industrie des cartes de paiement (PCI DSS). Visant à garantir la sécurité des transactions par carte de crédit, cette certification atteste des contrôles mis en oeuvre par SAP Concur afin de sécuriser les données financières et bancaires de ses clients.
Outre ces deux référentiels, votre fournisseur SaaS doit pouvoir apporter des garanties sur la bonne gestion des données à caractère personnel. Relativement peu connue en France, la norme BS10012:2017 établit un cadre strict à prendre en considération lors de la collecte, du stockage, du traitement, de la conservation ou de l’élimination des informations relatives aux personnes. Elle fixe notamment des règles précises en matière de traçabilité des accès aux données à caractère personnel, en lecture comme en écriture, ainsi qu’en matière de rétention des données clientes. Elle assure ainsi la conformité aux règlementations telles que le RGPD, qui limite la période de conservation des données et impose leur suppression sous certaines conditions.
SAP fait partie des premières entreprises à avoir obtenu cette certification.
En suivant le cadre spécifié dans la norme BS10012, SAP Concur assure une sécurisation optimale des données stockées dans le cloud, tout en assurant un traitement et une gestion des transferts dans le respect des exigences légales.
Les rapports SOC gagnent également en importance pour contrôler les mesures de protection des données dans le cloud et s'assurer qu'elles remplissent leur rôle. Les contrôles SOC I et SOC II établissent une norme de reporting d'audit pour documenter la conformité du fournisseur de service en matière de contrôle financier, de disponibilité des données, de sécurité des systèmes, d'intégrité du traitement, et de confidentialité, entre autres.
• Le rapport SOC 1 couvre tous les systèmes en direct des clients au cours du cycle d'audit. Il fournit des informations sur les contrôles au niveau de l'organisation de service pertinents pour le contrôle interne du client en matière de reporting financier, connus sous le nom de contrôles généraux en informatique (ITGC).
• Le rapport SOC 2 fournit à la direction d'une organisation de service, aux clients et aux autres parties prenantes un rapport sur les contrôles d'une organisation de service, pertinents pour la sécurité, la disponibilité et l'intégrité du traitement de son système, ainsi que pour la confidentialité et la protection des données traitées par ce système.
Assurez-vous que votre fournisseur SaaS met en œuvre des mesures de sécurité adaptées en se soumettant à des vérifications régulières (comme les audits SOC).
Une démarche transverse axée sur la sécurité et la résilience des centres de données
Pour accéder à un tel niveau de sécurisation de ses systèmes dans le cloud, SAP Concur applique des mesures techniques et organisationnelles qui englobent notamment :
• Le contrôle des accès physiques (tous les centres de données SAP ou appartenant à des prestataires tiers utilisés par SAP mettent en œuvre des procédures de sécurité strictes, et disposent de gardiens, caméras de surveillance, capteurs de mouvement, etc.).
• Le contrôle des accès au système (impliquant des stratégies de mots de passe robustes, ainsi que la définition d’une politique de rôle et de droits d’accès adaptée au niveau de protection des données).
• Le contrôle des données (accès aux données, saisie et transmission des données)
• Le contrôle de la séparation des données (SAP s’appuie sur un large éventail de capacités techniques – par exemple, une architecture mutualisée ou des environnements système cloisonnés – pour assurer une séparation entre les données à caractère personnel provenant de différents clients).
• Le contrôle de l’intégrité des données (SAP a mis en œuvre une stratégie de défense sur plusieurs niveaux pour garantir une protection contre les modifications non autorisées. Cette stratégie va du pare-feu aux tests d’intrusion, en passant par les stratégies de PRA).
Au-delà de ces mesures techniques, l’ensemble de l’écosystème SAP Concur est bâti dans un esprit de résilience du SI. Par exemple, les connecteurs cloud natifs SAP Concur – qui minimisent les risques d’erreurs humaines en effectuant la comptabilisation automatique des notes de frais dans l’ERP – exploitent intrinsèquement des APIs parfaitement sécurisées. Ce niveau d'attention démontre à quel point chaque détail compte dans la quête d'une architecture cloud digne de confiance !
1“Empower The Future of Work with Intelligent Travel and Expense Solutions”, A Forrester Consulting Thought Leadership Paper Commissioned by SAP Concur, May, 2023