Comment protéger nos applications métier ? Les PME et ETI sont en plein dans l’ère de la transformation digitale : la virtualisation, le cloud et la conteneurisation se démocratisent. Les acteurs traditionnels de la finance ou de la santé voient l’émergence de jeunes concurrents plus agiles. Ces derniers offrent des nouvelles technologies qui leur permettent d’obtenir un avantage sérieux grâce à leur rapidité de mise sur le marché, leur flexibilité et leur résilience. Cette nouvelle donne oblige les entreprises établies à proposer elle aussi ces nouvelles technologies afin répondre à ce nouveau défi qui leur est lancé. Petit tour d’horizon…
Par Franck Boccara
Nous avons la chance de vivre un moment passionnant pour les technologies B2B mais qu’en est-il du moteur de l’entreprise, à savoir les applications métier critiques ? La valeur ajoutée d’applications cloud et SaaS n’est plus à prouver mais leur sécurité doit être réellement prise au sérieux sous peine de menacer la sécurité de l’organisation de façon plus générale.
Pour commencer, Il est primordial que le Directeur des Services Informatiques (DSI) puisse avoir l’oeil sur la totalité des informations qui circulent et sur les différentes applications installées sur les terminaux et machines des collaborateurs. De fait, en fonction du service et du secteur d’activité de la structure, chaque employé a sa propre liste d’applications critiques et de données associées qui sont susceptibles, en cas de compromission ou de perte, d’entrainer une interruption de l’activité plus ou moins longue. Cela peut être, par exemple, des applications de transaction financière contenant des données client sensibles, des ERP qui permettent de gérer les stocks d’entreprises ou d’hôpitaux ou même des transactions relatives à des dossiers de santé électroniques, qui renferment des informations personnelles de santé primordiales pour les prestataires de soins, les hôpitaux ou les compagnies d’assurance. Dans tous les cas, aucune application ne doit être utilisée à l’insu de l’entreprise ou de l’organisation.

Cependant, trop de responsables ne pensent pas à sécuriser leurs applications métier et continuent à prendre des risques. Ces imprudences peuvent nuire à leurs investissements financiers dans ces applications et à la pérennité de leur relation clients. En dépit de ces dangers, 70 % des entreprises interrogées ne pensent pas que la sécurité de ces applications soit une priorité. Il existe pourtant quelques actions simples qui renforceraient leur sécurité :
- Cerner les applications les plus critiques : Le DSI doit avoir une visibilité totale sur les applications métiers utilisées et sur leur usage par les différents services pour définir précisément ce qui doit être sécurisé dans son réseau. Cela peut être des applications SaaS ou des applications personnalisées mises en place par le biais d’outils et de méthodologies DevOps.
- Connaitre et sécuriser le cloud : Il faut absolument créer une stratégie cloud, un plan de migration et un planning avant toute opération de transfert des applications locales vers le cloud ou vers de nouvelles applications SaaS. De la sorte, une entreprise voulant effectuer ce basculement devra s’assurer de la collaboration avec les services concernés de façon transversale afin de garantir la sécurité des accès à privilèges.
- Sécuriser l’accès des administrateurs qui gèrent les applications métier critiques : il faudra pour cela rassembler toutes les informations d’identification des administrateurs qui sont en charge des applications critiques identifiées et de définir un système de rotation des mots de passe. Ainsi, le DSI garanti leur renouvellement ainsi qu’une meilleure protection des compte. Il devra également isoler les sessions pour prévenir le vol de données d’identification. Cependant, bien souvent, les administrateurs de ces applications n’appartiennent pas à l’équipe informatique mais plutôt aux services des finances, du marketing ou des ressources humaines.
- Pensez aux machines ! : En plus de la protection des comptes gérés par des membres de l’organisation, il ne faut pas oublier de sécuriser les informations d’identification et les comptes de service à privilèges que les machines et applications utilisent. Les informations d’identification codées en dur sont un facteur de risque conséquent pour les applications critiques et devront donc être éliminées.
La négligence des mesures de sécurité dans ce domaine peut avoir des conséquences amères : Effet négatif sur le chiffre d’affaires, dégradation de la relation client et risques commerciaux liés aux données compromises. Pour combler ces lacunes, les solutions de sécurité d’accès à privilèges permettent une vision globale de la protection de ces applications, elles aident le DSI à hiérarchiser et à protéger les applications et les données les plus importantes de son organisation et donc à en assurer le succès.



Un effet « Gilets jaunes » ?
Egalement questionné sur une éventuelle influence bénéfique des manifestations sur le commerce en ligne, Frédéric Duval réfute et précise: « Il n’y pas eu d’effets dopants, d’accélération de croissance, ni de bulle d’activité », en faisant plutôt état de problèmes logistiques. « Nous en avons tenu compte pour respecter la promesse faite à nos clients ». Il s’est aussi exprimé sur la prime exceptionnelle en affirmant « ne pas avoir d’annonce à faire en la matière ». « L’entreprise Amazon n’est profitable que depuis quelques années et que le pourcentage de profitabilité est très faible. Rien à voir avec les autres Gafa », s’est défendu Frédéric Duval pour expliquer le fait que l’entreprise n’offrira pas de prime comme l’a demandé le

Promouvoir la culture de la sécurité
Il est tout à fait évident qu’aucun outil de protection ne peut être efficace contre les attaques de systèmes d’information sans que la direction instaure une réelle culture de la sécurité auprès de tous les collaborateurs et à tous les échelons de l’entreprise. Un plan de reprise de l’activité doit être impérativement mis en place pour faire face à une éventuelle attaque qui aurait abouti, c’est à dire de procéder régulièrement à des sauvegardes de données, de prévoir des procédures de retour à la situation antérieure à l’attaque et de dresser une liste des personnes et organismes à contacter.
D’ailleurs, depuis le 25 mai 2018, date à laquelle le RGPD (Règlement général sur la protection des données) est devenu obligatoire, de nombreuses entreprise qui traitent des données personnelles en ont profité pour réaliser un véritable audit sur la gestion des données personnelles et leur exposition aux risques.
Pour les PME et ETI, mettre en place une politique de sécurité efficace représente un véritable défi car elles se focalisent avant tout sur leurs impératifs opérationnels et sur la satisfaction de leurs clients, ce qui relègue souvent la protection contre les attaques de systèmes d’information au second plan. Cependant, la prise de conscience est bien réelle et des efforts constants sont réalisés.
Les 6 recommandations de CPME et de l’ANSSI
La 







