Un logiciel de paie en ligne sécurisé doit répondre au double défi de la cybersécurité de la gestion des rémunérations : la confidentialité des salaires et l'intégrité des comptes bancaires. Pour s'assurer qu'une solution de paie répond à ce double défi, six points sont nécessaires à vérifier selon l'éditeur Sage.
1) Le cryptage des données en transit
Les entreprises ont tout à gagner à gérer leur paie en ligne. Pour autant, elles doivent se montrer vigilantes dans le choix de leur solution.
En effet, le premier verrou que doit comporter un logiciel de paie en ligne sécurisé est apporté par le cryptage des données en transit. Les données en transit sont les données de paie qui circulent entre la solution de gestion de paie et l'extérieur. Par exemple, une demande de RTT ou la modification des coordonnées bancaires.
La solution doit garantir que ces données en transit sont cryptées, afin que nul ne puisse les utiliser avec une intention frauduleuse.
2) Le cryptage des données passives
Le risque couru par un autre type de données de paie est à l'origine du deuxième verrou, le cryptage des données de paie passives.
Mais qu'est-ce qu'une donnée passive ? Ce sont les données personnelles stockées dont on n'a l'usage qu'au moment de procéder à la paie. Typiquement, les coordonnées bancaires, indispensables pour effectuer le virement au salarié, relèvent de cette catégorie.
Il est donc primordial de s'assurer que ces données de paie passives sont également cryptées par la solution de paie en ligne.
3) La fiabilisation des mots de passe
L'accès à un logiciel de paie en ligne sécurisé est protégé par le troisième verrou de l'armure. En effet, une solution de paie réellement conçue dans une perspective de vigilance accrue exige un protocole durci pour le choix des mots de passe de chacun des utilisateurs.
Chaque salarié accède à la solution de gestion de paie, par exemple pour déclarer une absence ou pour télécharger un document. Il importe que le mot de passe exigé respecte deux contraintes :
- une complexité dans la composition du mot de passe (majuscules, chiffres, signes spéciaux...) ;
- une récurrence imposée dans la modification des mots de passe, avec l'impossibilité d'utiliser un ancien mot de passe.
4) Le cryptage des données d'authentification
Une faiblesse éventuelle d'un logiciel de paie en ligne est une protection insuffisante des données d'authentification de l'utilisateur. En clair, il ne sert à rien d'exiger un mot de passe hyper compliqué si la relation entre le mot de passe et les données de la personne, l'authentification, n'est pas cryptée.
Sauf à désirer faire le bonheur des adeptes du phishing, il est indispensable que les données d'authentification soient également cryptées. Voilà donc le quatrième verrou d'un logiciel de paie en ligne sécurisé.
5) La bunkerisation de l'hébergement
La sécurité d'une solution de paie en ligne est garantie par la vigilance de l'éditeur pour toutes les précautions en rapport avec l'utilisation du logiciel. C'est-à-dire les verrous 1 à 4.
Mais une deuxième typologie de protection des données personnelles des utilisateurs est nécessaire : la sécurité apportée par l'hébergeur de la solution de paie. Pour vérifier la solidité de ce cinquième verrou, il est important de se référer aux garanties mises en avant par l'hébergeur de la solution.
Par exemple, si votre logiciel de paie est hébergé par Microsoft Azure, il multiplie les protections contre les intrusions malintentionnées, les incendies, les inondations, les coupures de courant et même contre les séismes. Il se soumet au minimum aux normes de sécurité européennes.
Mais ce qui importe, c'est que toutes ces protections soient régulièrement mises à l'épreuve, confrontées à des audits de sécurité menés par des cabinets indépendants. Toute faille et même tout embryon de faille font bien sûr l'objet d'un plan de correction.
6) Le pilotage des usages
Ce sixième verrou est la responsabilité endossée par l'éditeur pour garantir la conformité de l'utilisation de la solution de paie. En clair, l'éditeur doit anticiper et prémunir contre les erreurs du client lors de son utilisation. Comment ? En mettant à disposition une solution qui ne permet pas de sortir de la route tracée par l'environnement réglementaire. Les mises à jour intègrent les pratiques en vigueur selon l'activité. Les calculs sont automatisés et les bonnes pratiques forcément appliquées.
Ainsi, l'utilisateur s'occupe de la paie de ses collaborateurs mais pas de la conformité de son application, profitant sereinement de la facilité de la gestion de paie grâce à des outils en ligne.
En conclusion, un logiciel de gestion de paie en ligne sécurisé ne doit rien au hasard et tout à la multiplication des éléments de fiabilisation. Au moment de choisir ou d'évaluer votre solution de traitement de la paie, il faut avoir en tête que la cybersécurité est une responsabilité forte assumée par les éditeurs les plus engagés.