Loamics propose \u00e0 ses clients une solution iPaaS pour automatiser et industrialiser la pr\u00e9paration et le traitement des donn\u00e9es.\u00a0<\/p>\n
Quel que soit votre secteur d\u2019activit\u00e9, l\u2019infrastructure Loamics vous permet de mettre en place des processus de gestion et de d\u00e9cision bas\u00e9s sur le croisement de donn\u00e9es h\u00e9t\u00e9rog\u00e8nes, intelligentes, fiables et s\u00e9curis\u00e9es en temps r\u00e9el.<\/p>\n
Or, la ma\u00eetrise des donn\u00e9es est indissociable des enjeux de s\u00e9curit\u00e9. Pour faire de la data un levier d\u2019efficacit\u00e9 et\/ou de comp\u00e9titivit\u00e9 pour votre organisation, vous devez aussi vous assurer que vos donn\u00e9es soient bien prot\u00e9g\u00e9es contre de potentielles attaques.<\/p>\n
Alexandre Perrin, Responsable de la S\u00e9curit\u00e9 des Syst\u00e8mes d\u2019Information chez Loamics, pr\u00e9sente les bonnes pratiques et les solutions mises en \u0153uvre par Loamics\u00a0pour assurer la s\u00e9curit\u00e9 de vos donn\u00e9es.<\/p>\n
En mati\u00e8re de s\u00e9curit\u00e9 des donn\u00e9es, nous avons des demandes r\u00e9currentes des clients autour des bonnes pratiques \u00e0 adopter pour \u00e9viter les failles de s\u00e9curit\u00e9.\u00a0<\/p>\n
La norme internationale ISO 27001 est le cadre de r\u00e9f\u00e9rence en mati\u00e8re de s\u00e9curit\u00e9 des donn\u00e9es. Elle a pour objectif le contr\u00f4le et la s\u00e9curit\u00e9 de l\u2019information \u00e0 travers 4 grands axes :\u00a0<\/p>\n
Aujourd\u2019hui,\u00a0 nous n\u2019avons qu\u2019une partie de la responsabilit\u00e9 vis-\u00e0-vis de ces exigences. La responsabilit\u00e9 est partag\u00e9e avec le client qui ram\u00e8ne ces donn\u00e9es.<\/p>\n
Pour nos clients, la s\u00e9curit\u00e9 des donn\u00e9es passe en premier lieu par le chiffrement des donn\u00e9es au repos, c\u2019est-\u00e0-dire les donn\u00e9es stock\u00e9es dans la plateforme qui ne sont pas en cours d\u2019utilisation ainsi que le chiffrement des donn\u00e9es en transit.<\/p>\n
Le deuxi\u00e8me point r\u00e9side dans un cycle de d\u00e9veloppement s\u00e9curis\u00e9, que nous sommes en train de renforcer. Le d\u00e9veloppement est bloqu\u00e9 d\u00e8s lors que nous d\u00e9tectons une vuln\u00e9rabilit\u00e9 significative. Cela permet de s\u2019assurer que ce qui est livr\u00e9 au client soit exempt de risque.<\/p>\n
Pour cela, on va v\u00e9rifier que le code qui a \u00e9t\u00e9 d\u00e9velopp\u00e9 n\u2019introduit pas de faille inh\u00e9rente \u00e0 une erreur de programmation. On v\u00e9rifie \u00e9galement les d\u00e9pendances pour d\u00e9tecter d\u2019\u00e9ventuelles vuln\u00e9rabilit\u00e9s li\u00e9es \u00e0 des librairies, des frameworks qu\u2019on importe.<\/p>\n
Ces actions sont compl\u00e9t\u00e9es par des tests plus dynamiques, des \u00ab\u00a0pentests\u00a0\u00bb sur l\u2019application. Concr\u00e8tement, \u00e0 chaque livraison, on essaie de pirater l\u2019application pour identifier les failles. De la m\u00eame mani\u00e8re, nous proc\u00e9dons \u00e0 des audits externes annuels de s\u00e9curit\u00e9. Un prestataire simule des attaques sur la plateforme de mani\u00e8re pouss\u00e9e car, contrairement \u00e0 un attaquant lambda, ils disposent de la connaissance du code.<\/p>\n
Non, la qualit\u00e9 des jeux de donn\u00e9es des clients n\u2019a pas d\u2019impact sur la s\u00e9curit\u00e9. Si des donn\u00e9es sont susceptibles d\u2019introduire un risque, elles sont filtr\u00e9es \u00e0 la base. On s\u2019assure ainsi que rien ne passe.<\/p>\n
Par ailleurs, la Data Gouvernance, qui est au c\u0153ur du fonctionnement de Loamics, renforce aussi la s\u00e9curit\u00e9 des donn\u00e9es. On est sur un principe de liste blanche. Par d\u00e9faut, toutes les donn\u00e9es sont interdites. On autorise seulement les donn\u00e9es n\u00e9cessaires.<\/p>\n
Effectivement, il est important d\u2019insister sur le c\u00f4t\u00e9 dynamique et proactif de la s\u00e9curit\u00e9 des donn\u00e9es. Ce n\u2019est pas du \u00ab\u00a0one shot\u00a0\u00bb. A chaque cycle, on d\u00e9tecte des choses \u00e0 am\u00e9liorer sur la plateforme et on a un processus d\u2019am\u00e9lioration continue\u00a0 en place pour prendre les mesures n\u00e9cessaires.<\/span><\/p>\n Nous proc\u00e9dons \u00e9galement en continu \u00e0 des analyses de risques pour appr\u00e9hender le contexte et comprendre comment les attaquants proc\u00e8dent. Dans ce cas, on compare \u00e0 ce qui est en place sur la plateforme et, si on constate un d\u00e9calage, on r\u00e9ajuste les normes de s\u00e9curit\u00e9 de la plateforme. Le niveau de s\u00e9curit\u00e9 de la plateforme Loamics est donc r\u00e9ajust\u00e9 r\u00e9guli\u00e8rement en fonction des diff\u00e9rentes menaces identifi\u00e9es.<\/span><\/p>\n Nous exer\u00e7ons une veille constante sur les composants et, lorsque des vuln\u00e9rabilit\u00e9s apparaissent, nous nous rapprochons des clients pour leur proposer des mises \u00e0 jour de s\u00e9curit\u00e9. L\u2019objectif, \u00e9videmment, est de maintenir dans le temps le niveau de protection.<\/span><\/p>\n De mani\u00e8re g\u00e9n\u00e9rale, tout ce qui n\u2019est pas n\u00e9cessaire en temps r\u00e9el est bloqu\u00e9 dans la plateforme pour \u00e9viter la lat\u00e9ralisation lors des attaques. Nous nous effor\u00e7ons de compliquer au maximum la t\u00e2che des attaquants mais aussi de renforcer les protocoles de d\u00e9tection des comportements suspects.<\/span><\/p>\n Les clients ont deux possibilit\u00e9s\u00a0:<\/span><\/p>\n Dans les deux cas, nous les sensibilisons aux bonnes pratiques \u00e0 adapter. En cas d\u2019h\u00e9bergement dans le cloud, nous travaillons en bonne intelligence avec les prestataires (Microsoft, Amazon, \u2026). Quand l\u2019environnement est celui du client, nous donnons nos recommandations en termes d\u2019int\u00e9gration, de dimensionnement.<\/span><\/p>\n La r\u00e8gle N\u00b01 reste le chiffrement des donn\u00e9es car il rend les donn\u00e9es inexploitables pour ceux qui n\u2019ont pas la cl\u00e9 de d\u00e9chiffrement. Les clients ont alors 2 options qui d\u00e9pendent de leur volont\u00e9 ou de la nature des donn\u00e9es\u00a0:<\/span><\/p>\n En tout cas, le chiffrement est une obligation car, compte tenu de la fa\u00e7on dont fonctionne Loamics, on ne sait jamais quelles donn\u00e9es vont \u00eatre trait\u00e9es dans la plateforme.<\/span><\/p>\n Cela touche au c\u0153ur de notre m\u00e9tier. On ne peut jamais consid\u00e9rer que la s\u00e9curit\u00e9 des donn\u00e9es est d\u00e9finitivement acquise. Chaque jour, il faut remettre l\u2019ouvrage sur le m\u00e9tier.<\/p>\n Le travail sur la s\u00e9curit\u00e9 des donn\u00e9es s\u2019articule autour de 3 axes compl\u00e9mentaires\u00a0:<\/p>\n La protection, ce sont essentiellement toutes les bonnes pratiques qu\u2019on met en place pour \u00e9viter autant que possible les attaques\u00a0:\u00a0<\/p>\n La protection n\u2019est pas fig\u00e9e. On l\u2019alimente et on la r\u00e9ajuste gr\u00e2ce \u00e0 notre veille continue sur les modes op\u00e9ratoires des attaquants. Cette veille facilite aussi la d\u00e9tection des attaques.<\/p>\n Chaque attaque a des \u00e9tapes bien d\u00e9finies : reconnaissance, acc\u00e8s initial, ex\u00e9cution de code, persistance, \u00e9l\u00e9vation de privil\u00e8ges, r\u00e9cup de comptes existants, d\u00e9couverte, lat\u00e9ralisation, collecte, exfiltration, impact sur objectif<\/p>\n A chaque \u00e9tape, des techniques sont utilis\u00e9es. Notre but est donc de suivre les diff\u00e9rents groupes et voir quelles techniques ils utilisent. Une fois qu\u2019on conna\u00eet les outils, on peut les d\u00e9tecter plus facilement et plus rapidement.<\/p>\n Enfin, suite \u00e0 une d\u00e9tection d\u2019attaque, on pr\u00e9pare des plans de r\u00e9ponse sur la continuit\u00e9 d\u2019activit\u00e9 : sauvegardes, possibilit\u00e9 de changement d\u2019environnement, r\u00e9cup\u00e9ration des donn\u00e9es, \u2026 \u00c0 moyen terme, l\u2019id\u00e9e est d\u2019avoir des plans de r\u00e9ponses pr\u00e9\u00e9tablis par type d\u2019incident int\u00e9grant non seulement les actions \u00e0 mener mais aussi la communication avec les clients et les autorit\u00e9s de r\u00e9gulation (CNIL, …)<\/p>\n En premier lieu, on va investiguer, voir ce qui se passe, jusqu\u2019o\u00f9 l\u2019attaquant a pu aller dans le syst\u00e8me. Puis la priorit\u00e9 est d\u2019\u00e9viter la contagion et de retrouver le point d\u2019acc\u00e8s initial.<\/p>\n Une fois la situation r\u00e9tablie, on essaie de capitaliser sur ce qui s\u2019est pass\u00e9. On g\u00e9n\u00e9ralise la solution qu\u2019on a trouv\u00e9e pour tous les clients afin d\u2019\u00e9viter que le probl\u00e8me ne se reproduise.<\/p>\n","protected":false},"excerpt":{"rendered":" Loamics propose \u00e0 ses clients une solution iPaaS pour automatiser et industrialiser la pr\u00e9paration et le traitement des donn\u00e9es.\u00a0 Quel que soit votre secteur d\u2019activit\u00e9, l\u2019infrastructure Loamics vous permet de mettre en place des processus de gestion et de d\u00e9cision bas\u00e9s sur le croisement de donn\u00e9es h\u00e9t\u00e9rog\u00e8nes, intelligentes, fiables et s\u00e9curis\u00e9es en temps r\u00e9el. Or, […]<\/p>\n","protected":false},"author":7,"featured_media":2792,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"content-type":"","footnotes":""},"categories":[15],"tags":[],"class_list":["post-2790","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-blog-fr"],"acf":[],"yoast_head":"\nEst-ce que les choix d\u2019h\u00e9bergement de la plateforme ont un impact significatif en mati\u00e8re de s\u00e9curit\u00e9\u00a0?<\/h3>\n
\n
\n
Comment garantir aux clients un niveau de s\u00e9curit\u00e9 toujours plus \u00e9lev\u00e9 dans la dur\u00e9e\u00a0?<\/h3>\n
\n
\n