La sécurité est au cœur des préoccupations de SCorp-io. Cet article va porter sur les différents points d’attention concernant la sécurité à l’échelle de l’entreprise.
Nous avons vu dans un article précédent, pourquoi l’industrie était une cible privilégiée pour la cyber-criminalité. Les professionnels comprennent les risques (perte financière, incapacité à produire, perte de secret industriel, piratage de fichiers clients) mais ont souvent plus de mal à mettre en place des actions précises pour sécuriser leur infrastructure informatique.
Il faut ainsi considérer la sécurité comme une chaîne complète où chaque maillon doit faire l’objet d’une attention particulière.
La sécurité du réseau consiste à protéger le réseau informatique contre les intrus, qu’il s’agisse d’attaques ciblées ou de malwares opportunistes. Il existe beaucoup de techniques et de technologies de sécurisation, comme par exemple, la segmentation, le contrôle des ports, la mise en place d’une DMZ, ou d’un firewall etc.
Ces techniques peuvent être assez complexes à mettre en œuvre, incitant parfois certains professionnels à travailler uniquement sur leur réseau local et à le cloisonner au maximum. L’installation d’applications “on premise" (sur le réseau local) plutôt que dans le cloud, peut sembler à certains plus sécuritaire dans la mesure où ils ont l’impression de contrôler l’intégralité des paramètres de sécurité. Toutefois, cette vision a plusieurs limites. Aujourd’hui, gérer soi-même son parc informatique, la sécurité de son réseau, de ses données et de ses applications, c’est comme cacher son argent sous son matelas plutôt que de le mettre à la banque : pour notre argent, nous choisissons de faire confiance à quelqu’un dont c’est la spécialité et qui déploie les moyens appropriés. La même logique prévaut pour la gestion de votre infrastructure informatique.
Avec l’arrivée de l'industrie 4.0, les applications sont de plus en plus interconnectées et nécessitent des accès pour la télémaintenance. Cloisonner totalement son réseau devient compliqué, voire même utopique.
Pour communiquer entre ses services, SCorp-io utilise un VPC (virtual private network). L’accès depuis l’extérieur est contrôlé par un Ingress*, ainsi qu’une API gateway** ce qui permet d’avoir un seul point d’entrée pour toutes les requêtes de lecture et d'écriture de données.
* Un Ingress est un objet Kubernetes relativement simple qui définit des règles de routage applicatives du traffic HTTP
** Une API Gateway est le point d'entrée unique pour les API et les microservices back-end. Elle renforce la sécurité et assure l'évolutivité du système.
La sécurité des applications vise à protéger les logiciels et les appareils contre les menaces. Une application corrompue pourrait ouvrir l'accès aux données qu'elle est censée protéger.
De par son hébergement cloud, SCorp-io bénéficie des processus de sécurité de l’hébergeur, qui est en charge de la sécurité des machines : application des patchs de sécurité, mise à jour des OS etc. Encore une fois, déléguer la maintenance des machines à un hébergeur dont c’est la spécialité est souvent plus sûr, et permet au professionnel de se concentrer sur ses propres problématiques plutôt que sur la maintenance de son infrastructure.
La sécurité des informations garantit l'intégrité et la confidentialité des données, qu'elles soient stockées ou en transit.
SCorp-io utilise le protocole d’authentification OAuth2 pour sécuriser l’accès à son API REST. Ce protocole permet de protéger l’accès aux données affichées dans le navigateur en s’assurant que l’utilisateur est identifié auprès du système. Ce protocole est renforcé par un second facteur d’authentification (2FA) qui permet de confirmer l’identité de l’utilisateur avec un second code envoyé par email.
Que ce soit pour le recueil des données depuis les automates ou la publication des données vers ses modules cloud, tous les protocoles de communication utilisés par SCorp-io sont chiffrés.
La sécurité opérationnelle comprend les processus et les décisions liés au traitement et à la protection des données. Cela inclut les autorisations des utilisateurs et les procédures qui définissent le stockage et l’emplacement des données.
SCorp-io a mis en place une gestion des droits très fine avec plusieurs rôles permettant de contrôler les actions permises à chacun de ses utilisateurs.
SCorp-io héberge ses données en France, chez un hébergeur 100% Français, garantissant que le droit Européen s’applique sur les données de ses utilisateurs. Pour une entreprise Européenne, il est préférable de ne pas stocker ses données au Etats-Unis qui n’offrent pas aux données personnelles, un niveau de protection équivalent à celui de l’Europe, notamment à cause du Foreign Intelligence Surveillance Act.
La reprise après sinistre et la continuité des opérations spécifient la manière dont une entreprise répond à un incident de cybersécurité ou tout autre événement causant une perte de l'exploitation ou de données. Les politiques de reprise après sinistre régissent la manière dont une entreprise recouvre ses opérations et ses informations pour retrouver la même capacité de fonctionnement qu'avant l'événement. La continuité des opérations se réfère au plan sur lequel s'appuie une entreprise tout en essayant de fonctionner sans certaines ressources.
L’infrastructure de SCorp-io est entièrement scriptée (Infrastructure as code). Cela permet de recréer l’ensemble des services utilisés par ses utilisateurs en quelques minutes. SCorp-io effectue des sauvegardes quotidiennes de ses bases de données. Les sauvegardes s’effectuent sur des serveurs déportés afin de se prémunir de toute catastrophe survenant chez l’hébergeur.
Par ailleurs, SCorp-io utilise un hébergement régional pour son cluster de serveurs garantissant que l’application est répliquée par l’hébergeur dans plusieurs zones géographiquement éloignées. Ce mode d’hébergement permet de garantir une haute disponibilité et de se prémunir contre une panne de l’hébergeur. OVH a par exemple, rencontrée une panne importante sur l'un de ses sites, lors de l’incendie du 10 mars 2021 qui a détruit un datacenter entier (SBG2) et partiellement un autre (SGB1). (source)
La formation des utilisateurs finaux porte sur le facteur le plus imprévisible : l'humain. Tout le monde peut accidentellement introduire un virus dans un système habituellement sécurisé en ne respectant pas les bonnes pratiques de sécurité. Former ses collaborateurs est alors essentiel.
A l’incubateur Telecom Paris, L'entreprise Mantra propose des services de simulation de mail de fishing pour former les collaborateurs à détecter efficacement ces emails frauduleux, et à réduire considérablement l’exposition au cyber-risque.
Les caractéristiques du secteur (durée de vie des systèmes, augmentation des équipements connectés) font de l’industrie, une cible privilégiée pour la cyber-criminalité. Le risque est énorme, pouvant entraîner parfois l’arrêt des opérations. Pour se prémunir, les mesures de sécurité doivent être globales et protéger toute la chaîne des systèmes d’information. Si des mesures techniques sont nécessaires, l’humain a aussi sa part de responsabilité et former ses collaborateurs s’avère aussi essentiel que de protéger son réseau. La sécurité est au cœur des préoccupations de SCorp-io, d’autres articles sur le sujet seront régulièrement publiés sur ce blog.
CTO et Co-Fondateur
