La cybersécurité gagne chaque jour en importance. Dans un contexte de numérisation rapide et d’essor de la cybercriminalité, les applications critiques se profilent désormais comme le talon d’Achille des entreprises modernes. Nous avons donc massivement investi dans le renforcement de la sécurité de notre infrastructure et de nos applications afin de réduire le plus possible le risque que nous ou nos clients soyons victimes de pirates informatiques, de cyberattaques ou de ransomwares.
Collaboration avec Intigriti
Nous avons entamé notre collaboration avec l’entreprise belge Intigriti voici trois ans. Ce spécialiste de la cybersécurité met en contact les entreprises avec des hackers éthiques. Leur rôle ? Tenter par tous les moyens de s’introduire dans nos systèmes pour identifier et colmater d’éventuelles failles avant que des hackers moins bien intentionnés les découvrent.
Comment cela se passe-t-il en pratique ? Collègue Ronny nous l’explique : « Nous avons réalisé une description de projet du périmètre de test. Nous avons ensuite mis en place un environnement distinct, mais identique à notre environnement de production. Nous l’avons évidemment doté de données fictives et l’avons isolé du reste pour permettre à des pirates éthiques du monde entier de tenter d’y pénétrer. Intigriti assure le bon déroulement de l’exercice, le suivi et, surtout, le filtrage de ces hackers éthiques, qui concluent un contrat avec l’entreprise et connaissent et respectent donc les engagements pris.
S’il décèle une fuite, le pirate la signale. Nous l’examinons et s’il s’agit effectivement d’une erreur ou d’une vulnérabilité dans le logiciel, le pirate voit ses efforts récompensés par une prime. Une telle approche est la plus attrayante pour les pirates, mais nous ne collaborons pas toujours de cette manière. Dans le passé, nos logiciels et nos systèmes ont fait à plusieurs reprises l’objet de “tests de pénétration”. Lors de ce genre de tests, les spécialistes de la sécurité tentent de s’introduire par tous les moyens possibles. »
Résultats
Intigriti a cherché à identifier les failles potentielles dans toutes nos solutions logicielles. Avant de collaborer avec eux, nous avions déjà analysé les problèmes de sécurité éventuels grâce à un outil de test automatique. Nous avions relevé certaines erreurs de cette manière, mais cette méthode offre une moindre qualité que l’intervention d’un hacker éthique.
Ronny : « Notre première collaboration avec Intigriti consistait à demander régulièrement à un hacker expert d’examiner nos instances HiAnt et CheQpoint afin de découvrir d’éventuels bugs et problèmes de sécurité. Cela nous a permis d’identifier quelques problèmes mineurs, que nous avons corrigés entre-temps. Pour PratoFlex et Earnie, les tests sont effectués par le biais du programme de récompense des hackers. Dans le cas de PratoFlex, cette approche a déjà mis en lumière différents problèmes de sécurité, qui ont été résolus immédiatement. En outre, l’apport de ces hackers est très utile pour notre organisation, car il nous permet d’en apprendre rapidement beaucoup sur la sécurité et de prévenir des problèmes similaires à l’avenir.
Earnie, notre dernier né, est encore un peu “jeune” par rapport à PratoFlex, HiAnt et CheQpoint. Nous sommes néanmoins ravis qu’Intigriti n’ait pas identifié à ce jour de problèmes dans le nouveau moteur salarial. Nous allons certes un peu augmenter la prime pour la découverte d’éventuelles failles afin de motiver davantage les pirates éthiques, mais nous pouvons d’ores et déjà conclure que nos efforts et apprentissages du passé sont payants pour tous les nouveaux logiciels que nous avons développés depuis lors. »
Enseignements tirés
Ronny conclut : « La sécurité est un aspect auquel Prato attache une énorme importance. Notre objectif est, bien sûr, qu’Intigriti trouve le moins possible de lacunes. Notre logiciel s’est amélioré grâce à l’attention supplémentaire portée à la sécurité. La collaboration avec Intigriti a donc un impact positif. »
Que faire si un problème se pose malgré tout ? Ronny est catégorique, à ce sujet : « Nous avons également élargi et amélioré l’ensemble de ce processus. Nous avons beaucoup investi dans l’élaboration d’un plan de continuité des activités et d’un plan de reprise après sinistre. L’ensemble du processus de sauvegarde, par exemple, y occupe une place centrale. »
En conclusion
« Nous avons fait beaucoup de progrès, ces dernières années, en matière de sécurité et de sûreté pour nos clients », résume Ronny. « Et si certains lecteurs pensent que “demander à être piraté” a quelque chose d’effrayant, je les rassure d’emblée : pour nous, l’exercice fut aussi un peu inconfortable au début, parce que vous vous mettez potentiellement à nu face à ces pirates. Mais une fois que nous avons compris qu’il vaut mieux prévenir que guérir, ce sentiment s’est rapidement dissipé. »
