TCM

Etienne van der Vaeren est CEO de la société de recouvrement de créances, TCM. Il préside également l'Association Belge des sociétés de Recouvrement de Créances.

TCM améliore la solvabilité de ses clients en recourant à des solutions efficaces, professionnelles et éthiques de recouvrement de créances en Belgique et virtuellement partout dans le monde où cela s'avère possible grâce au réseau du groupe. La société compte quelque 2 000 clients, allant des plus petites entreprises aux grandes multinationales. TCM Belgique a été créée en 1993. Tout comme EASI, cette société de recouvrement de créances doit sa réussite à l'engagement de toute son équipe par rapport aux valeurs qui sont siennes.

En 2018, la toute nouvelle équipe de cybersécurité d'EASI a été mandatée par TCM pour effectuer des tests d'intrusion. “Nous sommes des professionnels jusque dans les moindres détails. La sécurité générale de nos systèmes fait partie de notre engagement de faire preuve de professionnalisme,” confirme le CEO de TCM Belgium.

Selon Etienne van der Vaeren, ce souci de la sécurité s'explique facilement :

“Aucun client ne doit regretter de travailler avec nous. Notre compréhension des différents aspects de la vie des entreprises devrait les rassurer.”

Vu le secteur d'activités de TCM, la protection des données traitées au quotidien est cruciale. L'équipe d'Etienne van der Vaeren devait s'assurer de pouvoir compter sur les services d'un partenaire fiable.

Le RGPD en ligne de mire

Lorsque nous avons demandé à TCM quel était le timing du projet, sa réponse ne s'est pas fait attendre : "Pourquoi en 2018 ?"

"À cause du RGPD bien sûr !"

Comme de nombreuses autres entreprises, nous avons dû contrôler tous nos processus et systèmes pour nous assurer qu'ils étaient conformes à la réglementation européenne. La protection de nos données, et par extension celle de nos clients, qui sont extrêmement confidentielles, est une nécessité absolue pour une société de recouvrement de créances.”

Le secteur d'activités de TCM est un secteur très sensible ; aucune donnée à caractère personnel ne peut être divulguée à des personnes non autorisées. A défaut, les répercussions pour la société, sa réputation et sa clientèle seraient désastreuses.

“La plus majeure partie des informations que nous traitons ne peuvent pas être envoyées par les services de messagerie classiques comme les emails. Nous prenons de nombreuses précautions pour nous assurer que ces informations sont traitées dans le respect des plus hautes normes de protection."

Un premier pas significatif

Avant ceux effectués par EASI, TCM n'avait jamais effectué de test d'intrusion. "Comme de nombreuses sociétés de notre secteur, nous avons commencé avec nos propres serveurs. Dans notre cas, il s'agissait d'un Small Business Server. Au fil du temps, nous avons évolué et sommes désormais actifs dans le cloud. Nous ne devons plus assurer la maintenance de notre serveur ni effectuer de mises à jour régulières, ce qui constitue un avantage significatif !" Nous nous sommes tournés tout naturellement vers EASI pour tester la sécurité de nos systèmes.

Nous connaissions déjà bien la société, vu que c'est avec eux que nous avons effectué le développement et la maintenance de tous nos systèmes. C'est donc EASI qui a pris le contrôle - nous avons effectivement opté pour le même partenaire pour nous assurer que notre infrastructure était étanche. Ce sont eux aussi qui assurent la maintenance." 

Mais, cela n'a pas inquiété le directeur outre mesure :

“Nous connaissons EASI. C'est une société sérieuse. Ce fut avant tout un choix fondé sur notre confiance à l'égard de notre partenaire IT”.

Mission 100% possible

Etienne van der Vaeren nous explique comment les tests se sont déroulés : “Nous avons donc mis l'équipe de sécurité d'EASI sur le projet d'intrusion au sein de l'infrastructure de TCM. Sans plus d'explications. Nous voulions être mis à nus et étions prêts, quels qu'aient été les résultats. C'était la même chose pour EASI." L'expérience a laissé des traces au sein de l'équipe de TCM : "Ce fut une expérience très intéressante. Nous n'avions jamais fait de tels tests auparavant. Nous avons pu constater que même si le site est parfaitement conçu, même si l'entreprise est solide et compte des milliers de travailleurs, peu importe. Une seule petite lacune au niveau de la sécurité ouvre la porte de toutes les entreprises, même les plus grandes. Ces tests sont d'importance cruciale."

Prêt ? Au travail !

L'équipe TCM n'était pas au courant des tests d'intrusion. Ils n'ont pas constaté de défaillance du système et ont pu continuer à travailler comme d'habitude. "Je suppose que les actes de piratage se déroulent généralement de la même manière ; personne ne se rend compte de rien alors que quelqu'un est en train de travailler jour et nuit pour essayer de pénétrer dans vos systèmes."

Les résultats sont là !

“Le fait de savoir que nous étions protégés professionnellement fut un soulagement. Nous savons par contre dorénavant qu'il est toujours possible qu'un pirate pénètre frauduleusement dans nos systèmes s'ils s'attèlent suffisamment à la tâche."

L'importance des dommages dépendra de la couche de protection prévue. Il est toujours possible de pirater un système, mais lorsque la société "victime" s'est bien préparée, les informations générées par l'attaque n'auront aucun intérêt.

Un secteur particulièrement sensible

Pour Etienne van der Vaeren, l'environnement dans lequel sa société évolue souligne l'importance d'effectuer des tests régulièrement.

“Dans le monde financier, en parlant avec des concurrents, j'ai réalisé que certaines sociétés effectuaient des tests d'intrusion tous les six mois ! Notre secteur ne peut s'en passer : notre réputation et nos activités en dépendent entièrement."

Par contre, certains concurrents de TCM ont été surpris, voire stupéfaits, de cette procédure. Certains avocats, par exemple, sont encore très en retard par rapport à la législation et utilisent encore des fichiers Excel transmis par email par des collègues et/ou partenaires.

"Nos systèmes sont actuellement indisponibles" ne sera bientôt plus qu'un lointain souvenir."

Depuis que nous avons opté pour le cloud, nous avons parcouru un long chemin qui s'éloigne de plus en plus de ce que nous entendons encore régulièrement chez nos clients : "Nos systèmes sont actuellement disponibles, nous ne pouvons rien faire". Avant cela nous arrivait aussi, mais depuis 2014, nous n'avons plus raté un seul jour de travail à cause de problèmes informatiques. L'équilibre vie professionnelle-vie privée en est également fortement influencé. Tous les travailleurs peuvent dorénavant travailler à partir de chez eux.

Et l'avenir ?

La question de la protection des données demeurera cruciale. Elle a pris de l'ampleur dans le contexte du RGPD, mais elle continuera d'être l'une de nos priorités quotidiennes. Cela fait partie de notre approche professionnelle générale de nos activités. C'est une réelle plus-value pour nos clients.