- securite
- Innovations et technologies
Comment sécuriser votre logiciel de gestion des interventions dans le Cloud ?
Fichier clients, historiques, plans d’accès, comptes-rendus d’intervention… Un logiciel de gestion des interventions contient un certain nombre de données sensibles qu’il convient de sécuriser. Revers de la médaille, l’ouverture qu’introduit le passage en mode SaaS expose aussi l’entreprise à de nouveaux risques.
Ce devoir de sécurisation a pris un relief nouveau depuis la mise en œuvre, le 25 mai 2018 du nouveau règlement européen sur la protection des données personnelles. En cas de fuite de données, ce RGPD prévoit des sanctions pouvant atteindre jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial, l’autorité de contrôle prenant en compte le montant le plus élevé des deux.
Découvrez dans cet article les solutions pour sécuriser les données dans le cloud et les terminaux mobiles.
Le passage au cloud expose à de nouveaux risques
Évolutivité, richesse fonctionnelle, dématérialisation de la chaîne d’information, mobilité… Les bénéfices d’une solution en mode SaaS ne sont plus à vanter. Le passage au cloud expose toutefois à de nouveaux risques. Jusqu’alors, les données dormaient « au chaud » dans les serveurs de l’entreprise ou dans des datacenters privatisés.
Tournant en vase clos, l’application n’avait que des contacts limités avec l’extérieur. Les modèles de protection traditionnels de type pare-feu et les systèmes de prévention des intrusions suffisaient.
La fin du modèle château fort
Avec le cloud, changement de modèle. L’application s’ouvre au monde. Elle interagit avec les utilisateurs, parfois en situation de mobilité, voire avec des applications tierces via des interfaces de programmation (APIs) ou des services web.
L’intéropérabilité des logiciels de gestion des interventions est une fonctionnalité essentielle. Par exemple, Praxedo se connecte parfaitement à votre système d’information grâce à une variété de connecteurs pour logiciels ERP/CRM.
Les systèmes de protection de type château fort qui se limitaient à protéger les postes de travail et les serveurs hébergeant l’application sont aujourd’hui caducs. Les données étant aujourd’hui éclatées dans le cloud, de nouvelles parades doivent être mises en place.
DLP et CASB, les dispositifs à l’ère du cloud
Une solution de DLP (Data Loss Protection) va éviter les fuites de données sensibles en traçant ces dernières en continu, que celles-ci soient archivées, stockées ou en cours de traitement. Des règles métiers peuvent être appliquées pour éviter, par exemple, que tel fichier soit imprimé, envoyé vers une adresse mail inconnue, enregistré sur une clé USB, hébergé sur un espace de stockage en ligne.
Complémentaire, une solution CASB (Cloud access security brokers) va, elle, contrôler les flux réseaux. Agissant comme une sentinelle, elle analyse en continu le trafic qui entre et sort du système d’information. Le CASB permet de sécuriser une application de bout en bout, du cloud aux terminaux connectés des utilisateurs.
L’homme, maillon faible des politiques de sécurité
Empiler les outils ne sert toutefois à rien si l’ensemble des collaborateurs n’est pas sensibilisé à cet enjeu. Il est de coutume de dire que l’homme est le maillon faible d’une politique de sécurité. Les techniques dites d’ingénierie sociale exploitent les « failles » humaines pour soutirer des informations ou usurper des identités.
Il convient donc de rappeler inlassablement les principes de base de la prévention. On ne clique pas sur le lien suspect émanant d’un destinataire inconnu, on verrouille sa session quand on quitte son bureau. Il convient de choisir un mot de passe à la fois complexe et facile à retenir et en changer régulièrement. Etc.
Il s’agit aussi de lutter contre le « shadow IT » qui consiste à utiliser des services non prescrits par l’entreprise. Certains collaborateurs font ainsi grand usage de webmails de type Gmail ou Yahoo Mail, ou d’applications de partage de fichiers comme Dropbox ou WeTransfer. Avoir un logiciel de gestion des interventions officiel, répondant à l’ensemble des besoins des utilisateurs, évite ce type de dérives.
MDM et MAM pour gérer une flotte de terminaux mobiles
Certaines populations sont plus à risque que d’autres. C’est le cas des techniciens de maintenance sur site qui, en permanence sur le terrain, ne bénéficient pas de tous les systèmes de protection à la disposition de leurs collègues sédentaires. Ils sont pourtant exposés à des risques spécifiques comme le vol d’informations contenues sur leur smartphone ou leur tablette.
Au-delà de la sensibilisation des techniciens aux enjeux de la sécurité, il existe des solutions pour sécuriser spécifiquement les terminaux mobiles. Un outil de MDM (Mobile Device Management) permet à un administrateur de gérer une flotte d’appareils autorisés à accéder aux services de l’entreprise. Il s’assure ainsi qu’il respecte les normes de sécurité édictées. En cas de vol, le terminal mobile est bloqué à distance.
Une solution de MAM (Mobile Application Management) permet cette fois de gérer les applications mobiles. Un administrateur peut interdire l’installation ou l’accès aux applications non conformes à la politique de sécurité, contrôler la manière dont les données sont utilisées et partagées, restreindre certaines actions telles que copier, coller ou enregistrer.
Le rôle prépondérant de l’éditeur de logiciel
Enfin, le passage au cloud implique davantage l’éditeur de logiciel. Le RGPD rappelle notamment qu’un sous-traitant doit mettre en œuvre toutes les mesures nécessaires pour sécuriser les données de ses clients. Praxedo n’a pas attendu l’entrée en vigueur du règlement pour répondre à cette injonction.
L’application Praxedo est hébergée sur des infrastructures dédiées chez OVH, premier hébergeur européen, qui garantit la conformité au RGPD. Les données sont systématiquement sauvegardées sur plusieurs serveurs sur des sites distants, et le taux de disponibilité constaté de l’application est supérieur à 99,8 %.
L’accès à l’application est réalisé via le protocole HTTPS avec le même niveau de sécurité que celui exigé pour le paiement en ligne. Praxedo fait, par ailleurs, appel à des entreprises spécialisées dont le métier est de réaliser des tests d’intrusions externes, permettant ainsi de corriger au plus vite les potentiels problèmes de sécurité remontés.
Nos articles similaires
-
- visio-assistance
- Innovations et technologies
- IA
Gestion d’interventions et innovations technologiques
Le 23 juillet 2024 -
- stratégie
- Innovations et technologies
Gestion d’interventions terrain : 4 tendances stratégiques et technologiques 2024
Le 25 janvier 2024