Comment Kyos protège ses données dans un environnement hybrid cloud ?

Comme la plupart de nos clients, nous sommes amenés à utiliser progressivement plus de services cloud, ce qui présente des avantages tout comme des risques, notamment en termes de protection des données. 

En effet, même si la migration vers une architecture hybrid cloud se fait lentement, elle s’opère plus vite qu’on ne le pense. Par exemple, nos fournisseurs et partenaires nous poussent à utiliser de services cloud. Nous devons, par exemple, enregistrer les opportunités liées aux besoins identifiés de nos clients dans des portails partenaires sous Sales Force ou activer certaines licences sur des services cloud de gestion de licence, ou encore créer des tickets pour nos clients sur des plateformes de gestions de ticket en ligne. De plus, avec l’automatisation des commandes, de la livraison et de la facturation des services cloud nous serons très vite dans l’obligation d’interfacer nos systèmes avec de plus en plus de services externes si nous voulons rester réactifs et compétitifs. 

Ainsi, certaines données concernant nos clients peuvent être stockées dans des plateformes cloudOr, en tant que société spécialisée en sécurité informatique et en protection des données, cela pose certains défis notamment afin de garantir à nos clients une protection optimale de leurs données. 

Pour chaque service cloud que nous utilisons nous estimons les risques et mettons en place certaines mesures afin de les mitiger au mieux. C’est par principe de transparence que nous communiquons sur cette réalité et que nous partageons avec vous nos principales pratiques mais également car nous savons que vous êtes confrontés aux mêmes défis et que ces mesures peuvent ainsi vous inspirer pour pouvoir mieux les adresser : 

Classification et chiffrement automatique des documents 

Une bonne pratique afin de protéger les données comprises dans les documents est de les chiffrer. Pour cela nous effectuons évidemment un chiffrement systématique des disques contenant ces données, mais les documents devant parfois être transférés, nous avons opté pour l’utilisation d’Azure Information Protection afin de les protéger. Le chiffrement est effectué de façon transparente pour l’utilisateur en fonction de la classification du document. Cela permet de facilement protéger les documents et de ne permettre la lecture ou l’écriture qu’aux personnes ayant été sélectionnées et ce même si le document sort de notre infrastructure. 

Ayant la conviction que la responsabilité individuelle des collaborateurs est clé, nous avons choisi de sensibiliser et de responsabiliser l’ensemble de nos collaborateurs afin qu’ils puissent décider eux-mêmes de changer la classification « Confidential » vers « Public » ou au contraire restreinte à uniquement certaines personnes spécifiques, et ce même si elles sont externes à l’entreprise. 

Ainsi, par défaut, tous documents qui se retrouvent sur le cloud intentionnellement ou non sont protégés par chiffrement. 

Utilisation systématique d’authentification forte 

Comme pour nos applications internes, nous exigeons de devoir nous authentifier au service cloud en utilisant des mécanismes de Single-Sign-On (SSO) et d’authentification forte avec multiples facteurs (MFA)chaque fois que le cloud provider le permet, nous utilisons notre propre provider d’identité externe (IDP), hébergé dans notre infrastructure.

Ceci nous permet de garder le contrôle de nos identités et de ne pas synchroniser nos crédentiels (mot de passe) sur des services cloud.  Cela limite fortement le risque que nos sessions dans le cloud soient compromises ou que nos accès soient utilisés par un tiers malveillant. 

Sécurité des mots de passe 

Par ailleurs, entre notre système d’information, ceux de nos clients et les plateformes cloud, nous sommes amenés à gérer des milliers de mots de passe. Nous les stockons sur une plateforme on-premise de gestion de mot de passe centralisée et sécurisée.

De plus, nous formons nos collaborateurs à l’utilisation de mot de passes complexes, différents pour chaque service et générés aléatoirement grâce au générateur de passe intégré à notre plateforme. 

Ces bonnes pratiques s’appliquent ainsi également aux plateformes cloud.  

Limitation des données exposées et simplification de l’architecture 

La meilleure façon d’éviter la fuite des données sensibles dans le cloud reste d’éviter de mettre dedonnées sensibles dans le cloud. Il convient ainsi notamment de sensibiliser les collaborateurs à la nature des données sensibles et de les responsabiliser à limiter la quantité et le type de données qui sont saisies dans les plateformes cloud. 

Par exemple, notre outil de gestion intégré (ERP) ConnectWise est installé uniquement on-premise dans notre infrastructure. Cependant le module de création d’offre ConnectWise Sell ayant arrêté sa version on-premise, nous avons été contraints de migrer vers la plateforme cloud. Nous avons alors estimé les risques liés aux types de données que nous indiquons dans nos offres et avons sensibilisé nos équipes commerciales à n’indiquer que des informations non confidentielles dans nos devis. Pour tout devis détaillé, ceux-ci utilisent un template Word ou Excel on-premise.  

De plus, nous avons la conviction que le principe de simplicité reste un moyen efficace de conserver un bon niveau de sécurité. Nous prônons ainsi la mise en place d’une architecture simple avec une centralisation des données, des identitésdes contrôles d’accès, etc. En effet, plus l’architecture est simple, moins il y a de risque d’erreur. 

Anonymisation / Tokensisation des données 

Pour l’instant, nous n’avons pas eu besoin de mettre en place une anonymisation / tokenisation des données contenues dans les applications cloud car les données ne sont pas sensibles. Mais cette solution reste une bonne option afin de pouvoir utiliser un service cloud tout en évitant que les données ne sortent du périmètre contrôlé par l’entreprise.  

Nos équipes expertes dans ce domaine ainsi que les outils de Thales Vormetric nous permettront de pouvoir faire face à ce type de problématique le jour où nous en aurons besoin. 

Conformité aux bonnes pratiques ISO 27002 et CIS 

Afin de limiter les risques nous effectuons régulièrement des contrôles de sécurité de nos infrastructures et de notre organisation face aux standards que sont ISO 27002 et les Critical Security Controls (CIS). 

De même, nous exigeons des partenaires avec lesquels nous partageons des données sensibles que ceux-ci respectent ces mêmes standards. Nous leur demandons ainsi de nous montrer les moyens qui sont mis en place et signons si besoin des contrats engageant leur responsabilité. 

De plus, nous prenons en considération la note de sécurité de leur entité indiquée par SecurityScoreCard afin d’évaluer le risque lié à l’utilisation de leur plateforme. 

Sensibilisation et phishing interne 

Le risque de vol de données ou d’usurpation d’identité peut se limiter avec des moyens techniques de filtrages et de contrôles. Mais le meilleur moyen reste la sensibilisation des collaborateurs à ces risques en leur donnant par exemple les moyens de reconnaître les comportements inhabituels ou étranges utilisés lors d’attaques de phishing.

Nous formons ainsi régulièrement et systématiquement tous nos collaborateurs avec les mêmes cours de sensibilisation que ceux que nous offrons à nos clients. De plus, nous utilisons la plateforme de-learning de KnowBe4 et effectuons régulièrement des tests de phishing internes. 

Ainsi même si une attaque de phishing concerne une des plateforme cloud que nous utilisons, nous réduisons fortement le risque de succès d’intrusion. 

Une sécurité en changement permanent 

Même pour une société de service spécialisée dans le domaine de l’infrastructure, le fait de pouvoir consommer des services sans avoir à les exploiter présente certains avantages. Ceux-ci nous offrent souvent une grande flexibilité ou un accès à des fonctionnalités qui seraient trop couteuses à déployer dans notre infrastructure, et nous permettent ainsi d’offrir à nos clients des services plus efficients et de meilleure qualité.  

Cependant, avec la généralisation du cloud et l’automatisation, notre métier va certainement beaucoup évoluer dans les prochaines années. C’est pourquoi nous devons anticiper ces changements en faisant face dès maintenant à ces nouveaux défis. Afin de garder un niveau de sécurité optimal dans une architecture cloud en constante évolution, nous devons donc régulièrement adapter les mesures qui sont mises en place. De nouvelles menaces sont identifiées chaque jour accompagnées de nouveaux outils de sécurité pour s’en prémunir. C’est à nous de nous adapter et c’est ce qui fait que notre métier reste toujours aussi passionnant. 

Aucune mesure n’est parfaite à 100%, nous nous efforçons de trouver le meilleur équilibre possible pour protéger vos données sans alourdir “fortement” les coûts de gestion associés et surtout la réactivité que vous exigez de nos services. Si vous avez des questionnements, des inquiétudes n’hésitez pas à contacter votre réfèrent commercial.