Sécurité des données : applications chez Iguane Solutions

Sécurité des données : applications chez Iguane Solutions

La sécurité comme principe et comme organisation : le concept de security by design et son application chez Iguane Solutions

La sécurité informatique est un enjeu de croissance, de compétitivité et d’image de marque. Dans un contexte de hausse continue des cyberattaques et des pertes (ou fuites) subséquentes de données, les utilisateurs se montrent de plus en plus concernés par la protection de leurs informations. De fait, la cybersécurité est devenue un socle incontournable pour les entreprises qui collectent et traitent des données dans le cadre du contrat de confiance qui les lie à leurs utilisateurs, que leurs solutions soient ou non hébergées sur le Cloud public.

Pour répondre à ces enjeux, Iguane Solutions a adopté un double positionnement : garantir la sécurité des outils dès leur conception afin d’offrir un écosystème protecteur, et appliquer le principe sécuritaire à l’ensemble de son organisation structurelle. Une sorte de security by design au carré !

La sécurité des données et ses enjeux

Sécurité des données

En l’espace de 10 ans, le volume annuel de données numériques créées à l’échelle de la planète a été multiplié par 20. Et ce n’est rien en comparaison avec les prévisions : selon Statista, entre 2020 et 2035, la masse des données pourrait être multipliée par 45 !

Pour l’essentiel, ces informations sont créées, collectées et/ou exploitées par des entreprises. Le Global Data Protection Index (GDPI) a montré que les données constituent une ressource à part entière pour les professionnels du secteur privé. Le problème, c’est que le risque augmente presque aussi rapidement que le volume global des données produites. Bien que le taux d’entreprises ayant déclaré une cyber-attaque ait baissé en 2020 par rapport à l’année précédente (65 % contre 80 %), ces risques continuent d’exister : le phishing (79 %), l’arnaque au président (47 %), l’usurpation d’identité (35 %) et l’infection par un malware (34 %) étant les menaces les plus répandues. (Chiffres du CESIN, 2020.) Plus globalement, près d’un milliard de personnes dans le monde sont concernées par une cyberattaque chaque année (interieur.gouv.fr).

Le risque s’accroît d’autant plus que le recours massif au télétravail, dans un contexte de pandémie, s’est accompagné d’une augmentation notable de l’usage de services et d’applicatifs numériques. Or ces modes de travail font peser des risques sur les données personnelles, qu’il s’agisse, pour les collaborateurs, d’accéder aux outils de l’entreprise à distance, de communiquer de façon sécurisée via les applications de messagerie ou de visioconférence, ou d’utiliser leur équipement personnel à des fins professionnelles (BYOD).

Enfin, il ne faut pas omettre les risques liés à la malveillance, souvent négligés par les organisations – car ils existent, et pas exclusivement dans un environnement Cloud. Espionnage, utilisation frauduleuse des données, tentative d’escroquerie, militantisme… Les cas de figure sont nombreux qui peuvent mettre une entreprise en difficulté au regard de son rôle relatif à la protection des informations de ses utilisateurs.

Pour toutes ces raisons, les enjeux relatifs à la sécurité des données se traduisent par des inquiétudes majeures au sein des organisations : 93 % d’entre elles estiment que leurs solutions actuelles ne suffisent pas à relever les défis de la protection des informations personnelles (source : GDPI). Or, les conséquences financières ne sont qu’une partie du problème. Car les entreprises ont bien plus à perdre, dans cette affaire, que des contrats ou du chiffre d’affaires : elles jouent leur réputation.

La notion de security by design : des outils conçus pour garantir la sécurité des données

Sécurité outils

L’adoption de solutions dédiées à la sécurité des données et la mise en place de programmes de cyber-résilience constituent des réponses pertinentes à ces enjeux. Néanmoins, la dynamique actuelle de stockage des données sur le Cloud – 89 % des entreprises hébergent des données en ligne, dont plus de la moitié sur le Cloud public – remet en cause la viabilité de ces solutions. Cela, parce que les entreprises perdent la maîtrise de la sous-traitance de l’hébergeur, se confrontent à des obstacles au moment de mener des audits, et peinent à sensibiliser leurs salariés à l’utilisation du Cloud. En conséquence, 91 % des entreprises estiment devoir mettre en place des outils ou des dispositifs spécifiques, mieux adaptés et susceptibles de proposer un environnement plus sécurisé. (Source : CESIN.)

La notion de security by design offre une réponse à ces enjeux. L’expression désigne un produit ou un applicatif qui intègre, dans sa conception, la notion de sécurité des données. Cette approche consiste non plus à renforcer un système existant en cas de défaillance, mais à prévenir les risques à travers une architecture conçue précisément pour se protéger contre les cyber-attaques ou les négligences.

Cette démarche suppose de tenir compte de cinq paramètres :

  • L’identification préalable des risques auxquels le système sera exposé ;
  • La réduction des points d’entrée, afin de minimiser la « surface » vulnérable, par le biais d’un contrôle plus strict des accès à la solution ;
  • La restriction des privilèges conférés aux utilisateurs ;
  • Une vigilance accrue vis-à-vis des services tiers et des sous-traitants ;
  • Un processus d’amélioration continue des cadres sécuritaires dans le but d’intégrer les risques nouvellement apparus.

L’adoption d’une solution security by design permet ainsi de minimiser les dommages occasionnés par une intrusion informatique, par une négligence interne ou par un sinistre touchant les serveurs.

La sécurité comme principe de conception : la démarche d’Iguane Solutions

La notion de security by design est au cœur des outils développés par Iguane Solutions. En effet, toutes nos solutions intègrent la sécurité comme principe de conception, et s’appuient plus globalement sur quatre piliers :

  • La haute disponibilité des plateformes de nos clients, afin d’en garantir l’accès à tout instant grâce à une succession de garde-fous (alimentation électrique, refroidissement, connectivité redondante, hébergement multi-site et/ou sur un Cloud public, etc.).
  • L’intégrité du système : des solutions de backup permettent de sauvegarder les données et de les restaurer dans les meilleurs délais, de façon à assurer la continuité de l’activité.
  • La sécurité des données (chiffrement des informations, protection des accès à la solution par une authentification forte, intégration continue de la sécurité dans une démarche DevSecOps…) et leur confidentialité (accès des données limités aux personnes dûment autorisées : isolation logique et/ou physique).
  • La traçabilité des actions, pour savoir quel utilisateur a réalisé quelle action à quel moment, par le biais d’outils de supervision et de contrôle des plateformes.

À ces quatre piliers, il faut ajouter un ensemble de bonnes pratiques associées, venant renforcer les bénéfices de la sécurité comme principe : identification des failles de sécurité dans le comportement des utilisateurs, formalisation de tests de sécurité automatisés, réalisation d’audits sur mesure tenant compte des règles relatives à l’intégrité, à la disponibilité et à la confidentialité des données et des services, etc.

La sécurité comme organisation structurelle : comment Iguane Solutions s’est construit autour de cette notion

ISO 27001

Au-delà des outils, le concept de security by design s’étend à l’organisation même de l’entreprise : celle-ci est fondée sur une architecture sécuritaire qui englobe l’ensemble du système de fonctionnement, depuis les locaux physiques jusqu’à l’infrastructure d’hébergement des plateformes utilisées par nos clients. Cette intégration de la sécurité au sein d’Iguane Solutions se matérialise de plusieurs manières :

  • L’obtention d’une certification ISO 27001 relative à la sécurité des systèmes d’information. Cette certification, basée sur une norme de référence, montre que nous avons implémenté un système de management de la sécurité de l’information efficace. Cela, dans le but d’identifier les cyber-menaces et de garantir la protection, l’intégrité et la disponibilité des données.
    • La mise en place d’une équipe chargée du suivi de la conformité, et la création d’une cellule technique “sécurité” chargée d’assurer nos engagements de sécurité.
    • La sensibilisation des équipes à la sécurité des données et à ses enjeux, avec des mises à jour trimestrielles.
    • Une veille permanente organisée autour des thématiques liées à la sécurité et à la protection des informations. Nous restons attentifs aux évolutions des outils, des méthodes et des processus, ainsi qu’à l’apparition de nouvelles menaces.

Ainsi, nous avons fait le choix, chez Iguane Solutions, d’appliquer la logique sécuritaire à la fois aux outils que nous concevons et à notre organisation interne. Cela, afin de garantir à nos clients une succession de couches de protection… et de leur offrir quelque chose de plus important encore : la sérénité dans la poursuite de leur activité.

Ce qu’il faut retenir :

  • L’augmentation exponentielle des données créées s’accompagne d’une hausse proportionnelle du risque, et contraint les entreprises à adopter des solutions pertinentes.
  • La notion de security by design, qui désigne le fait d’intégrer la sécurité à la conception des outils, permet de répondre à ces enjeux.
  • Iguane Solutions applique la logique sécuritaire à la fois à ses outils et à son organisation interne.

Pour en savoir plus, n’hésitez pas à nous contacter !

Migration vers le Cloud, besoin d'expertise technologique, d'accompagnement en 24/7 ?