Nous contacter
  • Ingénierie de développement

Comment garantir la sécurité des données dans un environnement multi-intervenants ?

Plus que jamais, la sécurité des données est une priorité pour les entreprises. Mais comment garantir la protection de vos informations sensibles dans le cadre d’un projet de développement logiciel ? Antoine GUÉRON, lead developer chez A5sys, revient sur l’importance de la sécurité dans un environnement multi-intervenants.

Qu’est-ce qu’un environnement multi-intervenants ?

Un environnement multi-intervenants est un environnement dans lequel travaillent plusieurs personnes, que ce soit sur un même sujet, pour un même client ou sur une même ressource, par exemple un serveur, un FTP, un data lake…

« Cela implique un partage d’informations de connexion, résume Antoine GUÉRON. Dans mon équipe, nous sommes 9 personnes à travailler pour un même client. Chacun d’entre nous a la possibilité d’intervenir sur des serveurs, des environnements Microsoft Azure, des applications, etc. Nous avons tous besoin d’avoir un accès à ces outils. »

Ainsi, la connexion à un service peut se faire via :

  • des comptes individuels,
  • un compte mutualisé, que tous les membres de l’équipe peuvent utiliser,
  • un couple clés publiques / clés privées,
  • des certificats, 
  • un principal de service. 

Start-up, PME, ETI et grands comptes, nous vous accompagnons dans votre transformation digitale à travers des process sécurisés. Parlons de vos projets et besoins !

Un environnement multi-intervenants peut aussi impliquer des personnes en externe, notamment chez une entreprise cliente.

« Étant donné que nous collaborons au quotidien, le client et les équipes d’A5sys ont besoin d’un accès à certaines ressources, explique Antoine GUÉRON. Dans ce cas, nous pouvons créer une archive mutualisée sur laquelle tout le monde intervient. Si le mot de passe change, par exemple, tout le monde est averti directement, il n’y a pas besoin de dupliquer l’information. »

Environnement multi-intervenants : quels enjeux en matière de sécurité des données ?

Comme partout, la data est un enjeu majeur dans un environnement multi-intervenants. C’est la première visée en cas d’attaque informatique, et c’est donc elle qu’il faut protéger en priorité. À tout moment, des données sensibles risquent d’être consultées, voire volées par un individu malveillant. 

« Nous travaillons avec des données d’utilisateurs qui font confiance à nos clients pour récolter, traiter et valoriser leurs informations afin de leur remettre à disposition à travers des indicateurs, des rapports ou des applicatifs… Mais ils ne veulent en aucun cas que ces données fuitent. Il faut donc sécuriser tous les accès à la data. »

Les menaces sont omniprésentes : un simple code noté sur un post-it peut permettre à un individu malveillant d’accéder à un PC et à toutes les informations qu’il contient. Un compte mal sécurisé, qui n’utilise pas un mot de passe suffisamment fort, peut être craqué très facilement. Pour éviter le pire, il convient de respecter les règles de sécurité de base :

  • Créer des identifiants longs et complexes.
  • Renouveler les mots de passe tous les trois ou quatre mois.
  • Ne pas envoyer de mots de passe par e-mail ou dans des conversations qui pourraient être piratées.

Néanmoins, pour limiter davantage les risques et déjouer toutes les attaques potentielles, d’autres processus doivent être mis en œuvre.

Pour vos développements d’applications ou de logiciels, placez la sécurité des données au cœur de votre cahier des charges ! Parlons de vos projets dès maintenant !

Quelles sont les meilleures pratiques pour sécuriser les données personnelles ?

Outre l’utilisation de mots de passe forts, les meilleures pratiques pour sécuriser les données personnelles incluent le chiffrement des données sensibles, la mise à jour régulière des logiciels et l’implémentation de contrôles d’accès stricts. Sur ce dernier point, l’utilisation d’un gestionnaire de mots de passe est une ressource précieuse, surtout dans un environnement multi-intervenants.

La gestion des mots de passe

Dans le cadre de sa politique de protection des données, A5Sys utilise un logiciel permettant d’enregistrer des comptes d’applications, des clés privées et publiques, ou tout autre élément de connexion

« Nous classons ces éléments dans des dossiers par client, puis par type d’environnement, puis par périmètres / applicatifs, détaille Antoine GUÉRON. Par exemple, mon équipe ne peut accéder qu’aux archives des clients qui la concernent, pas aux autres clients de l’entreprise qui sont gérés par d’autres collaborateurs. » 

Ainsi, seul un nombre limité de personnes peut accéder aux informations d’un client. Le responsable système et réseau, quant à lui, a la main sur la configuration globale de toutes les archives. Il a un accès de plus haut niveau qui lui permet de gérer finement les droits et les accès sur chaque élément.

Lorsqu’un utilisateur souhaite se connecter à une machine, un datalake ou n’importe quel autre élément, l’extension du gestionnaire de mot de passe (installée dans son navigateur) permet de faire l’autocomplétion du formulaire d’accès. Il n’a plus qu’à cliquer pour se connecter.

Pour ce faire, il suffit à l’utilisateur de disposer préalablement des informations de connexion à sa boîte mail dans le gestionnaire de mots de passe.

Grâce à cette extension du gestionnaire de mot de passe, il est inutile de retenir des dizaines de mots de passe complexes, puisque tout est mémorisé dans le logiciel. Plus  besoin non plus de rechercher les informations de connexion dans le gestionnaire, ni d’effectuer des copier-coller dans vos formulaires. Tout est automatique et bien plus sécurisé !

Par conséquent, Enfin, cette solution permet de faire du partage mutuel de mots de passe. « Prenons l’exemple d’un collègue qui intervient sur un projet et qui a besoin d’accéder à un outil spécifique. Nous pouvons lui donner accès à cette archive pendant une durée limitée. Une fois le délai dépassé, l’accès est automatiquement coupé, ce qui limite le risque de fuite du mot de passe. »

À noter tout de même : l’autocomplétion n’est effective que sous certaines conditions et n’est donc pas disponible tout le temps.

L’authentification à deux facteurs

Au-delà de la gestion des identifiants, l’authentification à deux facteurs (2FA) est une mesure de protection complémentaire à ne pas négliger.

« Sur la plupart des comptes que nous utilisons, nous avons mis en place une authentification à deux facteurs, confirme Antoine GUÉRON. Cette méthode permet de vérifier que c’est bien le bon utilisateur qui tente de se connecter. »

Avec la 2FA, l’utilisateur doit non seulement entrer un mot de passe pour se connecter, mais aussi effectuer une validation supplémentaire sur un autre appareil. Il peut s’agir d’un code reçu par SMS, d’une pop-up sur une application mobile, ou encore d’une clé à usage unique avec un code qui se génère toutes les 30 secondes. Une mesure simple et efficace en faveur de la protection des données.

Quels sont les bénéfices de notre stratégie de protection des données ?

Vous l’aurez compris : la sécurité des données dans les environnements multi-intervenants est une priorité pour A5Sys.

« Grâce au système que nous utilisons,  la perte de mots de passe est quasi-impossible. De plus, le partage des identifiants est facilité et sécurisé :

  • Il peut être temporaire dans le cas d’un intervenant ponctuel.
  • S’il s’agit d’un intervenant définitif qui vient intégrer une équipe, il suffit de l’ajouter pour qu’il accède à tous les identifiants dont il a besoin. »

Ce système est également facile à mettre en place dans le cas d’un nouveau client, puisqu’il suffit d’ajouter directement les mots de passe dans le logiciel. « En revanche, pour un client existant dont on connaît déjà les identifiants, il est nécessaire de transférer toutes les informations dans l’outil, ce qui représente un certain coût », souligne Antoine GUÉRON.

Quoi qu’il en soit, c’est un moyen rapide et efficace pour faciliter le partage et sécuriser les données, non seulement en interne, mais aussi pour les échanges avec les clients.

« Chez un client, un utilisateur peut tout à fait nous donner des informations de connexion qu’une autre personne devra utiliser plus tard. Nous pourrons lui partager ces identifiants ponctuellement, puis fermer l’accès quand cela sera nécessaire. Malgré tout, nous ne maîtrisons pas ce qui se passe en interne chez notre client. Par exemple, rien n’empêche un employé de copier-coller un mot de passe dans un e-mail, ce qui peut compromettre la sécurité des données de l’entreprise. »

Grâce à ces bonnes pratiques de sécurité dans les environnements multi-intervenants, A5sys cherche à améliorer la protection de ses données en interne, mais aussi celles de ses clients.

« C’est une démarche que nous avons adoptée autant pour la sécurité que pour la facilité d’accès. Dans certaines équipes, les intervenants ne sont pas toujours les mêmes : si nous avons besoin d’accéder à une information, il est très simple de la récupérer grâce à ce système. C’est aussi un gain de temps et d’efficacité : nous pouvons accéder à des serveurs très rapidement avec un copier-coller, alors qu’auparavant il fallait parfois taper manuellement les mots de passe. Désormais, tout est centralisé au même endroit ! », conclut Antoine GUÉRON.

Un projet de développement logiciel ?

A5sys vous accompagne en garantissant la sécurité de vos données.

Contactez-nous

Photo de profil de Antoine Gueron
Antoine Gueron
Lead developer chez A5sys
Partager par e-mail
Partager sur LinkedIn
Partager sur Facebook

Table des matières

Vous aimerez aussi