Virus. Arnaques. Les attaques de données dans l’univers de l’entreprise augmentent en flèche. Aujourd’hui plus que jamais, votre sécurité doit évoluer.
Comme le métier principal de Babelway implique le traitement de données sensibles et / ou privées, la sécurité a représenté un poste très important depuis les premiers pas de l’entreprise. Depuis lors, les créateurs de Babelway ont reconnu que la mise sur pied d’une politique de sécurité cohérente et en amélioration constante serait primordiale pour le succès de l’entreprise. Aujourd’hui, celle-ci a pu répondre aux exigences de sécurité les plus strictes de grandes entreprises depuis plus d’une décennie.
Récemment, Mathieu Pasture, CTO de longue date de Babelway, a pris le temps d’exposer ses réflexions sur la sécurité après des semaines intensives d’essais de pénétration induits par ses sous-traitants et un audit ISO 27001. Mathieu a été le moteur qui a présidé aux politiques de sécurité de Babelway, dont le développement du Système de Management de la Sécurité de l’Information (SMSI) (en anglais : Information Security Management System ou ISMS).
Q : Parlons du SMSI. Qu’est-ce que c’est et quelle valeur peut-il apporter à une organisation ?
MP : Le SMSI, pour citer Wikipédia, « désigne un ensemble de politiques concernant la gestion de la sécurité de l’information ». En termes de valeur, la sécurité est primordiale pour un éditeur SaaS, non seulement pour la crédibilité de la société, mais aussi pour l’excellence opérationnelle. Comme sous-produit de l’établissement d’un système de gestion de la sécurité de l’information, vous devez améliorer votre comportement opérationnel. Cela conduit à l’amélioration de la manière dont votre société fonctionne.
Q : Pouvez-vous donner un exemple de la façon dont la sécurité permet d’augmenter l’excellence opérationnelle ?
MP : Lorsque nous parlons de sécurité, nous évoquons également la continuité de l’entreprise. Les deux vont de pair. La toute première chose à faire pour améliorer la sécurité est de connaître les risques liés à votre activité. Pour identifier ces risques, vous devez déterminer ce qui a une valeur pour vous.
Grâce à cette prise de conscience des risques internes et externes, vous allez très probablement commencer à améliorer vos processus (comme, par exemple en établissant une séparation des tâches). Avec cette séparation des tâches, vous voudrez par exemple être certain que lorsque votre équipe se livre à un travail de production, elle possède aussi bien l’état d’esprit que la formation appropriée pour le faire. Vous diminuez les incidents parce que les personnes connaissent le comportement approprié et l’adoptent. Si quelque chose se passe, vous réduisez l’impact sur la totalité du système, car chacun sait comment réagir et comment communiquer le problème. Cet exemple montre bien que des mesures prises pour améliorer la sécurité et la continuité de l’entreprise ont également un impact très positif sur les opérations.
Q : Comment les sociétés peuvent-elles faire évoluer le comportement des employés afin de réduire les risques liés à la sécurité ?
MP : Il est très important de fonctionner en interne avec des règles et des normes très strictes. Tout le monde, dans la société, doit savoir ce qu’impliquent concrètement notre SMSI et les principes ISO. Babelway possède une formation annuelle étendue sur la sécurité. Toute personne travaillant pour Babelway reçoit une mise à jour sur les menaces les plus récentes sur l’Internet, comme les mécanismes de phishing. Nous donnons également un cours de remise à niveau sur les bonnes pratiques à appliquer en matière de protection des mots de passe, de cryptage des archives ou d’ingénierie sociale.
Q : Donc, le SMSI contient toutes ces politiques. C’est une façon d’assurer un processus de comportement sûr du personnel ?
MP : Au premier abord, le SMSI semble être un manuel. En tant que manuel, il contribue à définir des actifs, des risques et ensuite, la totalité du processus, pour mesurer et améliorer en permanence les procédures de sécurité. Telles sont les idées qui régissent tout processus de sécurité.
Mon conseil est de considérer ce système comme quelque chose de vivant… que la société utilise réellement. C’est pourquoi cela ne se résume pas simplement à un manuel : c’est un système. Nous l’avons créé à partir de rien. Il convient donc parfaitement à Babelway mais se devait en même temps de respecter les normes ISO et autres.
Q : Pourquoi est-il important que ce système soit vivant ?
MP : La société est elle-même en constante évolution, donc les actifs changent. Quelque chose qui n’était pas important auparavant le devient parce que vous l’utilisez de plus en plus ou parce que de nouvelles réglementations arrivent… En Europe, on a, par exemple, une nouvelle réglementation importante dénommée Règlement général sur la protection des données (en anglais General Data Protection Regulation) qui comporte de nouvelles obligations auxquelles nous devrons nous conformer. Vous devez donc prendre en compte constamment de nouveaux actifs, de nouvelles menaces et de nouvelles obligations. C’est une des raisons pour laquelle nous adaptons et améliorons sans cesse notre processus de sécurité. Dans notre cas, la croissance joue également. Ce qui était bon à une époque pour une start-up ne l’est plus pour une société qui a grandi.
Q : Exact. Donc, c’est une autre raison qui explique que le SMSI a changé avec le temps… en raison de la croissance organique d’une société. Quel est le type de menace pour la société qui vous préoccupe le plus ?
MP : Nous affrontons toute une série d’attaques de courriels. Récemment, un membre du personnel a été la cible d’une fraude au président. Il a reçu un courriel supposé venir du PDG de Babelway indiquant qu’il devait envoyer un paiement en Angleterre. Ceci signifie que quelqu’un connaissait la relation de ce membre du personnel avec le PDG. Normalement, on pourrait penser qu’un membre du personnel avec des responsabilités administratives ne serait pas la première personne à former à la sécurité. Je pense au contraire que c’est nécessaire. C’est par ce que cet employé était avisé et conscient des menaces qu’il a demandé directement à une collègue « Penses-tu que ce soit vrai ? ». Dans ce cas, la réponse a été évidente et la menace a été « facilement » évitée, mais ces attaques peuvent être graves et avoir des répercussions durables.
Q : Y a-t-il un autre conseil qui, à votre avis, est important à partager, soit à propos de l’établissement d’un protocole de sécurité, soit à propos de la sécurité en général ?
MP : Il y a 10 ans, on pouvait être plus passif concernant la sécurité. Si vous faisiez les choses correctement, vous pouviez continuer sans trop de changement. Mais les temps ont changé. Vous devez passer du temps sur votre sécurité et vous devez avoir une stratégie à ce sujet. L’idée n’est pas d’empêcher tout développement mais il est tout aussi bien réel que la composante sécurité fait partie de toute action d’une société comme Babelway.