Comment Loamics répond aux enjeux de sécurité des données de ses clients ?
Loamics propose à ses clients une solution iPaaS pour automatiser et industrialiser la préparation et le traitement des données.
Quel que soit votre secteur d’activité, l’infrastructure Loamics vous permet de mettre en place des processus de gestion et de décision basés sur le croisement de données hétérogènes, intelligentes, fiables et sécurisées en temps réel.
Or, la maîtrise des données est indissociable des enjeux de sécurité. Pour faire de la data un levier d’efficacité et/ou de compétitivité pour votre organisation, vous devez aussi vous assurer que vos données soient bien protégées contre de potentielles attaques.
Alexandre Perrin, Responsable de la Sécurité des Systèmes d’Information chez Loamics, présente les bonnes pratiques et les solutions mises en œuvre par Loamics pour assurer la sécurité de vos données.
Dans quelle mesure les clients de la solution Loamics abordent-ils les questions liées à la sécurité des données ?
En matière de sécurité des données, nous avons des demandes récurrentes des clients autour des bonnes pratiques à adopter pour éviter les failles de sécurité.
La norme internationale ISO 27001 est le cadre de référence en matière de sécurité des données. Elle a pour objectif le contrôle et la sécurité de l’information à travers 4 grands axes :
- Assurer la disponibilité des informations et des services
- Sécuriser l’intégrité des données critiques
- Garantir la confidentialité des données sensibles ou des données clients
- Assurer la disponibilité et la conformité des preuves légales et autres
Aujourd’hui, nous n’avons qu’une partie de la responsabilité vis-à-vis de ces exigences. La responsabilité est partagée avec le client qui ramène ces données.
Comment Loamics assure la sécurité des données sur la plateforme ?
Pour nos clients, la sécurité des données passe en premier lieu par le chiffrement des données au repos, c’est-à-dire les données stockées dans la plateforme qui ne sont pas en cours d’utilisation ainsi que le chiffrement des données en transit.
Le deuxième point réside dans un cycle de développement sécurisé, que nous sommes en train de renforcer. Le développement est bloqué dès lors que nous détectons une vulnérabilité significative. Cela permet de s’assurer que ce qui est livré au client soit exempt de risque.
Pour cela, on va vérifier que le code qui a été développé n’introduit pas de faille inhérente à une erreur de programmation. On vérifie également les dépendances pour détecter d’éventuelles vulnérabilités liées à des librairies, des frameworks qu’on importe.
Ces actions sont complétées par des tests plus dynamiques, des « pentests » sur l’application. Concrètement, à chaque livraison, on essaie de pirater l’application pour identifier les failles. De la même manière, nous procédons à des audits externes annuels de sécurité. Un prestataire simule des attaques sur la plateforme de manière poussée car, contrairement à un attaquant lambda, ils disposent de la connaissance du code.
Le niveau de qualité des données clients peut-il engendrer un risque en termes de sécurité ?
Non, la qualité des jeux de données des clients n’a pas d’impact sur la sécurité. Si des données sont susceptibles d’introduire un risque, elles sont filtrées à la base. On s’assure ainsi que rien ne passe.
Par ailleurs, la Data Gouvernance, qui est au cœur du fonctionnement de Loamics, renforce aussi la sécurité des données. On est sur un principe de liste blanche. Par défaut, toutes les données sont interdites. On autorise seulement les données nécessaires.
Comment les équipes Loamics travaillent-elles à l’amélioration continue de la sécurité des données sur la plateforme ?
Effectivement, il est important d’insister sur le côté dynamique et proactif de la sécurité des données. Ce n’est pas du « one shot ». A chaque cycle, on détecte des choses à améliorer sur la plateforme et on a un processus d’amélioration continue en place pour prendre les mesures nécessaires.
Nous procédons également en continu à des analyses de risques pour appréhender le contexte et comprendre comment les attaquants procèdent. Dans ce cas, on compare à ce qui est en place sur la plateforme et, si on constate un décalage, on réajuste les normes de sécurité de la plateforme. Le niveau de sécurité de la plateforme Loamics est donc réajusté régulièrement en fonction des différentes menaces identifiées.
Nous exerçons une veille constante sur les composants et, lorsque des vulnérabilités apparaissent, nous nous rapprochons des clients pour leur proposer des mises à jour de sécurité. L’objectif, évidemment, est de maintenir dans le temps le niveau de protection.
De manière générale, tout ce qui n’est pas nécessaire en temps réel est bloqué dans la plateforme pour éviter la latéralisation lors des attaques. Nous nous efforçons de compliquer au maximum la tâche des attaquants mais aussi de renforcer les protocoles de détection des comportements suspects.
Est-ce que les choix d’hébergement de la plateforme ont un impact significatif en matière de sécurité ?
Les clients ont deux possibilités :
- Héberger la plateforme directement sur leurs serveurs
- Utiliser la plateforme sur le cloud public
Dans les deux cas, nous les sensibilisons aux bonnes pratiques à adapter. En cas d’hébergement dans le cloud, nous travaillons en bonne intelligence avec les prestataires (Microsoft, Amazon, …). Quand l’environnement est celui du client, nous donnons nos recommandations en termes d’intégration, de dimensionnement.
La règle N°1 reste le chiffrement des données car il rend les données inexploitables pour ceux qui n’ont pas la clé de déchiffrement. Les clients ont alors 2 options qui dépendent de leur volonté ou de la nature des données :
- Utiliser une clé de chiffrement gérée par le prestataire d’hébergement cloud
- Créer une keyvault qu’on maîtrise intégralement pour isoler les données du prestataire, notamment pour les secteurs sensibles.
En tout cas, le chiffrement est une obligation car, compte tenu de la façon dont fonctionne Loamics, on ne sait jamais quelles données vont être traitées dans la plateforme.
Comment garantir aux clients un niveau de sécurité toujours plus élevé dans la durée ?
Cela touche au cœur de notre métier. On ne peut jamais considérer que la sécurité des données est définitivement acquise. Chaque jour, il faut remettre l’ouvrage sur le métier.
Le travail sur la sécurité des données s’articule autour de 3 axes complémentaires :
- Protection
- Détection
- Remédiation
La protection, ce sont essentiellement toutes les bonnes pratiques qu’on met en place pour éviter autant que possible les attaques :
- Chiffrement
- Gestion des comptes et des privilèges (de de point de vue, Loamics offre une granularité assez fine)
- Réduction de la surface d’attaque : on limite les portes d’entrée possibles pour un attaquant en n’exposant que le strict nécessaire.
La protection n’est pas figée. On l’alimente et on la réajuste grâce à notre veille continue sur les modes opératoires des attaquants. Cette veille facilite aussi la détection des attaques.
Chaque attaque a des étapes bien définies : reconnaissance, accès initial, exécution de code, persistance, élévation de privilèges, récup de comptes existants, découverte, latéralisation, collecte, exfiltration, impact sur objectif
A chaque étape, des techniques sont utilisées. Notre but est donc de suivre les différents groupes et voir quelles techniques ils utilisent. Une fois qu’on connaît les outils, on peut les détecter plus facilement et plus rapidement.
Enfin, suite à une détection d’attaque, on prépare des plans de réponse sur la continuité d’activité : sauvegardes, possibilité de changement d’environnement, récupération des données, … À moyen terme, l’idée est d’avoir des plans de réponses préétablis par type d’incident intégrant non seulement les actions à mener mais aussi la communication avec les clients et les autorités de régulation (CNIL, ...)
En premier lieu, on va investiguer, voir ce qui se passe, jusqu’où l’attaquant a pu aller dans le système. Puis la priorité est d’éviter la contagion et de retrouver le point d’accès initial.
Une fois la situation rétablie, on essaie de capitaliser sur ce qui s’est passé. On généralise la solution qu’on a trouvée pour tous les clients afin d’éviter que le problème ne se reproduise.