Interview Kiwi Backup x Scalingo : Comment améliorer la sécurité informatique de votre entreprise ?
Nouvelles menaces informatiques, cas concrets et conseils d'experts : découvrez cette interview entre Yannick Jost, responsable Sécurité des Systèmes d'Information chez Scalingo, et Sébastien Heitzmann, Gérant et Directeur technique chez Kiwi Backup, pour vous aider à améliorer la sécurité informatique de votre entreprise.
Quelles sont les nouvelles cybermenaces que vous avez pu récemment découvrir ?
Sébastien Heitzmann : Il y a deux cybermenaces qui sont aujourd'hui de plus en plus présentes. La première existe depuis un moment, mais elle est pour moi une des menaces les plus sensibles, que l'on appelle "attaque par injection externe". Aujourd'hui, lorsque l'on développe n'importe quel logiciel, ils ne sont plus développés de A à Z : beaucoup de librairies externes sont utilisées. On peut aujourd'hui facilement avoir 4000 ou 5000 dépendances sur une petite application web ou bien un CMS. Les attaques assez courantes sont d'injecter des failles à l'intérieur de ces librairies, qui se retrouvent disséminées dans un ensemble d'applications très vaste. Gérer ce type de menaces est un vrai problème car il faut scanner l'ensemble des dépendances se trouvant dans le logiciel.
La deuxième est l'attaque par QR code. Nous savons tous que le QR code est devenu très à la mode. Tout le monde pris l'habitude de scanner n'importe quel QR code. Il faut savoir qu'un QR code est une URL, et que l'on peut se retrouver sur des sites qui ne sont pas recommandables avec de potentielles attaques. Cliquer sur un QR code est aussi sensible que cliquer sur un lien dans un mail que l'on ne connaît pas.
Yannick Jost : Pour ma part j'aimerais parler de l'utilisation de l'IA dans les attaques. A premier abord, nous pourrions nous dire que des robots automatisés vont attaquer nos entreprises et essayer de trouver des failles de sécurité. En fait, c'est plus basique que ça. Les IA permettent de faire beaucoup mieux : l'ingénierie sociale. Autrement dit, écrire des messages, faire croire que c'est quelqu'un de l'entreprise ou bien que c'est un service tiers vous faisant croire que vous devez renouveler votre mot de passe. Les LLM (comme chat GPT par exemple), vont donc permettre de faire des messages beaucoup mieux écrits et qui vont prendre du contexte par rapport à votre entreprise.
Quelles sont les étapes clés qu'une entreprise devrait suivre pour renforcer sa sécurité informatique ?
Yannick Jost : La sécurité est un vaste sujet et il est vrai que l'on peut se sentir submergé par l'étendue de tout ce qu'il faudrait protéger dans une entreprise. Il faut savoir que l'ANSSI a sorti un guide qui s'appelle le guide de l'hygiène informatique permettant à toute entreprise de faire une auto-évaluation, ce qui permet déjà d'avoir les bases.
De mon côté voici les différents points basiques que j'aimerais rappeler : D'abord, il y a toujours une problématique autour de la gestion des mots de passe. Je conseille donc d'utiliser un gestionnaire de mot de passe centralisé qui va permettre de générer des mots de passe et de les conserver de manière sécurisée.
Une autre approche que l'on recommande toujours pour savoir ce que l'on doit sécuriser, c'est d'inventorier ses actifs principaux, c'est-à-dire savoir ce qui a de la valeur pour l'entreprise en terme informationnel, puis à partir de là, décider comment nous allons le protéger.
Sébastien Heitzmann : Deux éléments sont pour moi essentiels : la sauvegarde, après avoir fait l'analyse de risques et des inventaires comme l'a dit Yannick. Il est important de faire une sauvegarde car c'est votre assurance vie. En cas d'attaque ou d'intrusion dans votre système ou encore une erreur humaine, la sauvegarde externalisée est la seule chose qui vous sauvera. Le deuxième élément essentiel est l'application des mises à jour de sécurité. Aujourd'hui, la plupart des attaques massives qui ont lieu sur internet sont des failles qui sont déjà corrigées. Les attaquants attaquent donc des systèmes qui n'ont pas été mis à jour. Il est important de faire ces mises à jour quotidiennement, c'est indispensable pour votre sécurité.
En quoi la conformité aux réglementations en matière de sécurité est cruciale pour de nombreuses entreprises ?
Yannick Jost : Lorsque l'on parle de conformité, nous avons d'abord un a priori un peu négatif. Les normes sont vues comme des contraintes, et comme quelque chose qui n'aurait pas vraiment de sens. Mais détrompez vous : les normes sont écrites et définies par des professionnels de notre domaine, en l'occurrence la sécurité informatique. Elles sont élaborées par consensus et regroupent les meilleures pratiques du domaine.
Sébastien Heitzmann : Je partage le point de vu de Yannick. En effet les normes peuvent êtres vues comme des contraintes, et notamment les audits externes. Mais ces rendez-vous annuels permettent aussi de guider la mise en place des améliorations, d'apporter un œil extérieur et d'amléiorer certains points. Pour moi les audits externes sont indispensables pour l'amélioration continu,; car c'est très compliqué de faire cela en interne.
Comment vos solutions aident elles les entreprises à gérer leurs données sensibles de manière sécurisée ?
Sébastien Heitzmann : Le premier point est évidemment de faire de la sauvegarde. Nous vous rassurons sur le fait que si vous perdez tout votre système informatique, nous sommes capables de rendre les données que vous nous avez confié. Le deuxième élément sur la caractéristique de cette sauvegarde est que la sauvegarde doit être inamovible, c'est à dire qu'elle doit être inaltérable par un attaquant. Chez Kiwi Backup, même si le pirate a un accès complet à l'ensemble de votre système informatique, il n'y a aucun moyen de modifier le backup de la veille. Je rappelle également que nous avons 90 jours d'historique, vous avez donc 3 mois pour revenir en arrière sur n'importe quelle version.
Yannick Jost : Du côté de Scalingo, nous allons assurer au niveau de la sécurité de l'information. Une chose très importante est la résilience de votre application et de vos données. Nous fournissons la MCO, c'est à dire le maintien en conditions opérationnelles, et la MCS, le maintien en conditions de sécurité. Cela veut dire que nous allons faire du monitoring sur l'ensemble de la plateforme et nous allons mesurer le trafic réseau ainsi que la charge des machines. C'est un service essentiel pour assurer que vos applications sont disponibles 99,9% du temps. Cette surveillance de la plateforme est faite en continu par notre équipe d'experts, y compris en astreinte. Nous faisons également les mises à jour de façon automatique et transparente au niveau des patchs de sécurité des systèmes. Comme nous proposons aussi de l'hébergement de BDD, ces BDD vont être sauvegardées. Nous avons des backup de BDD qui sont conservées 1 an, et ces backup sont chiffrés au repos. Enfin, au niveau de la souveraineté, la totalité de nos données sont hébergées en France.
Pouvez-vous partager des exemples concrets de cas où vous avez chacun aidé des entreprises à surmonter des défis informatique et à protéger leurs données ?
Yannick Jost : Il faut savoir que la sécurité de l'information a plusieurs aspects : on parle souvent du triptyque disponibilité, confidentialité et intégrité. Je voulais vous parler d'une problématique de nos clients qui ont des passages télé, ou simplement des entreprises qui vont avoir une activité saisonnière comme par exemple le Black Friday. Il peut donc y avoir des pics de trafic qui peuvent être prévus, et d'autres qui sont inopinés. Une des forces de Scalingo est que la plateforme peut s'adapter aux pics de trafic qui vont entrer. Nous offrons à nos clients ce que l'on appelle la scalabilité horizontale ou verticale.
Le deuxième aspect dont je voulais parler sont en fait tous les aspects de confidentialité. Scalingo est certifié HDS, ce qui va permettre d'assurer un haut niveau de confidentialité et de sécurité de vos données. Il y a par exemple un projet que nous hébergeons qui s'appelle Malo, une application de prévention en santé pour la famille, qui voulait justement bénéficier de la puissance d'un Pass comme Scalingo, permettant un déploiement rapide des applications, et qui voulait assurer les conditions d'hébergement qui étaient nécessaires pour une application en santé. Nous sommes fiers d'aider ce projet à se déployer rapidement.
Sébastien Heitzmann : Ce qui pose souvent problème avec la sauvegarde, c'est ce que j'appelle le monitoring de la sauvegarde. Aujourd'hui, quand vous avez trois machines à sauvegarder, c'est assez facile de lire les rapports. Ceci est valable pour quelques dizaines de serveurs au maximum, mais à partir d'une certaine taille de parc, ce n'est plus gérable. Nous avons donc mis en place un tableau de bord général de pilotage de la sauvegarde. C'est un élément essentiel lorsqu'on a un système d'information assez important, de pouvoir vérifier que cette sauvegarde est bien effective. Surveiller que la sauvegarde ai bien eu lieu est un élément important.
Notre client Schmidt Group ont un centre de gestion centralisé. Ils ont des agences dans toute la France avec des serveurs sur lesquels ils ont leurs différents outils. Ces serveurs sont dans des unités commerciales, il n'y a donc pas d'informaticiens sur place qui vérifient que cette sauvegarde est bien faite. Avant, le groupe avait ont des outils pour savoir si ces sauvegardes ont bien eu lieues, mais cela prenait environ 2h par jour. Depuis qu'ils ont Kiwi Backup, cela leur prend 5 minutes de vérifier sur le tableau de bord que tout soit vert. Le monitoring est donc important pour les franchisés ou les entreprises qui gèrent un parc important.
Quel conseil donneriez vous aux responsables informatiques et aux entrepreneurs qui cherchent à renforcer la sécurité informatique de leur entreprise ?
Yannick Jost : Si vous produisez du code dans votre entreprise, cela veut dire que vous avez automatisé des processus métier, ou que vous offrez des services à vos clients. Pour mettre du code à disposition en interne ou en externe, vous devez gérer des serveurs, gérer des bases de données, les mettre à jour, etc. Il y a donc des choses sur lesquelles il faut vous concentrer, et des choses sur lesquelles vous pouvez vous reposer sur des professionnels. Quand vous êtes dans des structures ou vous avez besoin d'adopter des cycles de développement rapides, le mieux est de faire appel à un hébergeur qui a obtenu des certifications reconnues dans le domaine, qui correspondent à votre activité.
Sébastien Heitzmann : Utilisez des solutions qui soient certifiées HDS pour les données de santé et pour l'hébergement primaire mais également pour la sauvegarde informatique. Chaque test de restauration que l'on fait chez nous nous apprend des choses : on améliore, on progresse. Pour l'exemple de l'incendie d'OVH de Strasbourg, notre objectif était de remonter notre système en moins de 12h et nous l'avons fait en moins de 3h.
Pour résumer : Externalisation, monitoring, sauvegarde fiable, application des mises à jour de sécurité et formation des utilisateurs sont les points clés pour assurer la sécurité informatique de votre entreprise.