Nov 08

Comment sécuriser votre logiciel de gestion des interventions dans le Cloud ?

Posté par : Xavier Biseul / Etiquettes : , , ,

Comment sécuriser votre logiciel de gestion des interventions dans le Cloud ?

Revers de la médaille, l’ouverture qu’introduit le passage en mode SaaS expose aussi l’entreprise à de nouveaux risques. Il existe toutefois des solutions spécifiques pour sécuriser les données dans le cloud ainsi que les terminaux mobiles.
 
Fichier clients, historiques, plans d’accès, comptes-rendus d’intervention… Un logiciel de gestion des interventions contient un certain nombre de données sensibles qu’il convient de protéger. Ce devoir de sécurisation a pris un relief nouveau depuis la mise en œuvre, le 25 mai dernier, du nouveau règlement européen sur la protection des données personnelles.
 
En cas de fuite de données, ce RGPD prévoit des sanctions pouvant atteindre jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial, l’autorité de contrôle prenant en compte le montant le plus élevé des deux. Au-delà de ce risque financier, un piratage peut durablement ternir la réputation d’une entreprise. A une autre échelle, Facebook peut actuellement en témoigner…

Le passage au cloud expose à de nouveaux risques

Evolutivité, richesse fonctionnelle, dématérialisation de la chaîne d’information, mobilité… Les avantages d’une solution en mode SaaS ne sont plus à vanter. Le passage au cloud expose toutefois à de nouveaux risques. Jusqu’alors, les données dormaient « au chaud » dans les serveurs de l’entreprise ou dans des datacenters privatisés.
 
Tournant en vase clos, l’application n’avait que des contacts limités avec l’extérieur. Les modèles de protection traditionnels de type pare-feu et les systèmes de prévention des intrusions suffisaient.
 

La fin du modèle château fort

Avec le cloud, changement de modèle. L’application s’ouvre au monde. Elle interagit avec les utilisateurs, parfois en situation de mobilité, voire avec des applications tierces via des interfaces de programmation (APIs) ou des services web. Un logiciel de gestion des interventions va, par exemple, s’interopérer avec un progiciel comptable pour déclencher automatiquement la facturation.
 
Les systèmes de protection de type château fort qui se limitaient à protéger les postes de travail et les serveurs hébergeant l’application sont aujourd’hui caducs. Les données étant aujourd’hui éclatées dans le cloud, de nouvelles parades doivent être mises en place.

DLP et CASB, les dispositifs à l’ère du cloud

Comme son nom l’indique, une solution de DLP (Data Loss Protection) va éviter les fuites de données sensibles en traçant ces dernières en continu, que celles-ci soient archivées, stockées ou en cours de traitement. Des règles métiers peuvent être appliquées pour éviter, par exemple, que tel fichier soit imprimé, envoyé vers une adresse mail inconnue, enregistré sur une clé USB, hébergé sur un espace de stockage en ligne.
 
Complémentaire, une solution CASB (Cloud access security brokers) va, elle, contrôler les flux réseaux. Agissant comme une sentinelle, elle analyse en continu le trafic qui entre et sort du système d’information. Le CASB permet de sécuriser une application de bout en bout, du cloud aux terminaux connectés des utilisateurs.

L’homme, maillon faible des politiques de sécurité

Empiler les outils ne sert toutefois à rien si l’ensemble des collaborateurs n’est pas sensibilisé à cet enjeu. Il est de coutume de dire que l’homme est le maillon faible d’une politique de sécurité. Les techniques dites d’ingénierie sociale exploitent les « failles » humaines pour soutirer des informations ou usurper des identités.
 
Il convient donc de rappeler inlassablement les principes de base de la prévention. On ne clique pas sur le lien suspect émanant d’un destinataire inconnu, on verrouille sa session quand on quitte son bureau. Il convient de choisir un mot de passe à la fois complexe et facile à retenir et en changer régulièrement. Etc.
 
Il s’agit aussi de lutter contre le « shadow IT » qui consiste à utiliser des services non prescrits par l’entreprise. Certains collaborateurs font ainsi grand usage de webmails de type Gmail ou Yahoo Mail, ou d’applications de partage de fichiers comme Dropbox ou WeTransfer. Avoir un logiciel de gestion des interventions officiel, répondant à l’ensemble des besoins des utilisateurs, évite ce type de dérives.

MDM et MAM pour gérer une flotte de terminaux mobiles

Certaines populations sont plus à risque que d’autres. C’est le cas des techniciens de maintenance sur site qui, en permanence sur le terrain, ne bénéficient pas de tous les systèmes de protection à la disposition de leurs collègues sédentaires. Ils sont pourtant exposés à des risques spécifiques comme le vol d’informations contenues sur leur smartphone ou leur tablette.
 
Au-delà de la sensibilisation des techniciens aux enjeux de la sécurité, il existe des solutions pour sécuriser spécifiquement les terminaux mobiles. Un outil de MDM (Mobile Device Management) permet à un administrateur de gérer une flotte d’appareils autorisés à accéder aux services de l’entreprise. Il s’assure ainsi qu’il respecte les normes de sécurité édictées. En cas de vol, le terminal mobile est bloqué à distance.
 
Une solution de MAM (Mobile Application Management) permet cette fois de gérer les applications mobiles. Un administrateur peut interdire l’installation ou l’accès aux applications non conformes à la politique de sécurité, contrôler la manière dont les données sont utilisées et partagées, restreindre certaines actions telles que copier, coller ou enregistrer.

Le rôle prépondérant de l’éditeur de logiciel

Enfin, le passage au cloud implique davantage l’éditeur de logiciel. Le RGPD rappelle notamment qu’un sous-traitant doit mettre en œuvre toutes les mesures nécessaires pour sécuriser les données de ses clients. Praxedo n’a pas attendu l’entrée en vigueur du règlement pour répondre à cette injonction.
 
L’application Praxedo est hébergée sur des infrastructures dédiées chez OVH, premier hébergeur européen, qui garantit la conformité au RGPD. Les données sont systématiquement sauvegardées sur plusieurs serveurs sur des sites distants, et le taux de disponibilité constaté de l’application est supérieur à 99,8 %.
 
L’accès à l’application est réalisé via le protocole HTTPS avec le même niveau de sécurité que celui exigé pour le paiement en ligne. Praxedo fait, par ailleurs, appel à des entreprises spécialisées dont le métier est de réaliser des tests d’intrusions externes, permettant ainsi de corriger au plus vite les potentiels problèmes de sécurité remontés.
 

Articles similaires :

A propos de l’auteur

Xavier Biseul est journaliste indépendant. Spécialiste des sujets liés aux nouvelles technologies et à la transformation digitale des entreprises, il collabore avec de nombreux titres de la presse print et web

Essayez le leader Praxedo

Pas d'engagement, pas de carte bleue demandée
une bonne idée, faites un essai gratuit
Essai gratuit

En poursuivant votre navigation, vous acceptez l’utilisation de cookies pour personnaliser votre visite et vous assurer une meilleure expérience sur notre site. Pour en savoir plus, cliquez ici.