Comment sécuriser votre logiciel de répartition hébergé en nuage ?

Revers de la médaille, l’ouverture qu’introduit le passage à l’hébergement en nuage, expose aussi l’entreprise à de nouveaux risques. Il existe toutefois des solutions spécifiques pour sécuriser les données dans le nuage ainsi que les terminaux mobiles.
 
Fichier clients, historiques, plans d’accès, comptes-rendus d’intervention… Un logiciel de répartition contient un certain nombre de données sensibles qu’il convient de protéger. Ce devoir de sécurisation a pris un relief nouveau depuis la mise en œuvre, le 25 mai dernier, du nouveau règlement européen sur la protection des données personnelles.
 
En cas de fuite de données, ce RGPD prévoit des sanctions pouvant atteindre jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial, l’autorité de contrôle prenant en compte le montant le plus élevé des deux. Au-delà de ce risque financier, un piratage peut durablement ternir la réputation d’une entreprise. À une autre échelle, Facebook peut actuellement en témoigner…

Le passage à l’hébergement en nuage expose à de nouveaux risques

Évolutivité, richesse fonctionnelle, dématérialisation de la chaîne d’information, mobilité… Les avantages d’une solution en hébergée en nuage ne sont plus à vanter. Le passage au nuage expose toutefois à de nouveaux risques. Jusqu’alors, les données dormaient « au chaud » dans les serveurs de l’entreprise ou dans des datacentres privatisés.
 
Tournant en vase clos, l’application n’avait que des contacts limités avec l’extérieur. Les modèles de protection traditionnels de type pare-feu et les systèmes de prévention des intrusions suffisaient.
 

La fin du modèle château fort

Avec l’hébergement en nuage, changement de modèle. L’application s’ouvre au monde. Elle interagit avec les utilisateurs, parfois en situation de mobilité, voire avec des applications tierces via des interfaces de programmation (API) ou des services web. Un logiciel de répartition va, par exemple, s’interopérer avec un progiciel comptable pour déclencher automatiquement la facturation.
 
Les systèmes de protection de type château fort qui se limitaient à protéger les postes de travail et les serveurs hébergeant l’application sont aujourd’hui caducs. Les données étant aujourd’hui éclatées dans le nuage, de nouvelles parades doivent être mises en place.

DLP et CASB, les dispositifs à l’ère de l’hébergement en nuage

Comme son nom l’indique, une solution de DLP (Data Loss Protection) va éviter les fuites de données sensibles en traçant ces dernières en continu, que celles-ci soient archivées, stockées ou en cours de traitement. Des règles métiers peuvent être appliquées pour éviter, par exemple, que tel fichier soit imprimé, envoyé vers une adresse mail inconnue, enregistré sur une clé USB, hébergé sur un espace de stockage en ligne.
 
Complémentaire, une solution CASB (Cloud access security brokers) va, elle, contrôler les flux réseaux. Agissant comme une sentinelle, elle analyse en continu le trafic qui entre et sort du système d’information. Le CASB permet de sécuriser une application de bout en bout, du nuage aux terminaux connectés des utilisateurs.

L’homme, maillon faible des politiques de sécurité

Empiler les outils ne sert toutefois à rien si l’ensemble des collaborateurs n’est pas sensibilisé à cet enjeu. Il est de coutume de dire que l’homme est le maillon faible d’une politique de sécurité. Les techniques dites d’ingénierie sociale exploitent les « failles » humaines pour soutirer des informations ou usurper des identités.
 
Il convient donc de rappeler inlassablement les principes de base de la prévention. On ne clique pas sur le lien suspect émanant d’un destinataire inconnu, on verrouille sa session quand on quitte son bureau. Il convient de choisir un mot de passe à la fois complexe et facile à retenir et en changer régulièrement. 
 
Il s’agit aussi de lutter contre le « shadow IT » qui consiste à utiliser des services non prescrits par l’entreprise. Certains collaborateurs font ainsi grand usage de webmails de type Gmail ou Yahoo Mail, ou d’applications de partage de fichiers comme Dropbox ou WeTransfer. Avoir un logiciel de répartition officiel, répondant à l’ensemble des besoins des utilisateurs, évite ce type de dérives.

MDM et MAM pour gérer une flotte de terminaux mobiles

Certaines populations sont plus à risque que d’autres. C’est le cas des techniciens de maintenance sur site qui, en permanence sur le terrain, ne bénéficient pas de tous les systèmes de protection à la disposition de leurs collègues sédentaires. Ils sont pourtant exposés à des risques spécifiques comme le vol d’informations contenues sur leur smartphone ou leur tablette.
 
Au-delà de la sensibilisation des techniciens aux enjeux de la sécurité, il existe des solutions pour sécuriser spécifiquement les terminaux mobiles. Un outil de MDM (Mobile Device Management) permet à un administrateur de gérer une flotte d’appareils autorisés à accéder aux services de l’entreprise. Il s’assure ainsi qu’il respecte les normes de sécurité édictées. En cas de vol, le terminal mobile est bloqué à distance.
 
Une solution de MAM (Mobile Application Management) permet cette fois de gérer les applications mobiles. Un administrateur peut interdire l’installation ou l’accès aux applications non conformes à la politique de sécurité, contrôler la manière dont les données sont utilisées et partagées, restreindre certaines actions telles que copier, coller ou enregistrer.

Le rôle prépondérant de l’éditeur de logiciel

Enfin, le passage à l’hébergement en nuage implique davantage l’éditeur de logiciel. Le RGPD rappelle notamment qu’un sous-traitant doit mettre en œuvre toutes les mesures nécessaires pour sécuriser les données de ses clients. Praxedo n’a pas attendu l’entrée en vigueur du règlement pour répondre à cette injonction.
 
L’application Praxedo est hébergée sur des infrastructures dédiées chez OVH, qui garantit la conformité au RGPD. Les données sont systématiquement sauvegardées sur plusieurs serveurs sur des sites distants, et le taux de disponibilité constaté de l’application est supérieur à 99,8 %.
 
L’accès à l’application est réalisé via le protocole HTTPS avec le même niveau de sécurité que celui exigé pour le paiement en ligne. Praxedo fait, par ailleurs, appel à des entreprises spécialisées dont le métier est de réaliser des tests d’intrusions externes, permettant ainsi de corriger au plus vite les potentiels problèmes de sécurité remontés.