Dossier #1 Transformation numérique - 05. Sécuriser vos données et protéger votre entreprise : Sécuriser les infrastructures dans le cloud pour garantir la continuité d’activité des grands industriels

Editeur de solution ERP pour les industriels, QAD propose depuis 2003 une offre dans le cloud pour ses clients internationaux. Aujourd’hui, Philippe Renaud, Business consultant chez QAD et expert en solutions ERP depuis plus de vingt ans, répond à nos questions concernant le sujet épineux de la sécurité des utilisateurs de solutions dans le cloud.

Pouvez vous nous expliquer en quoi une offre Cloud est avantageuse pour les entreprises en termes d’activité et de sécurité ?

Chez QAD, nous avons pour stratégie d’être un acteur majeur du cloud dans notre domaine d'activité en proposant notre logiciel en mode SaaS à nos clients. Aujourd’hui plus qu’hier, les entreprises prennent conscience de l’importance de la sécurité de leurs données et sont demandeurs d’expertise et de garanties.

Dans cette offre, nous leur proposons de se décharger de la gestion de leur système ERP et donc de nous confier leurs données en tout sérénité. Il est donc évident que nous devons leur assurer le plus haut niveau de sécurité possible, depuis l’architecture de nos logiciels jusqu’à la protection des données stockées dans le Cloud. Ainsi, nous pouvons assurer à nos clients une garantie de continuité de l’activité, en toutes circonstances. 

Vous parlez de continuité de l’activité, comment la garantissez vous ?

Nos clients sont des industriels venant de secteurs comme le médical, l’agro-alimentaire, le high-tech ou encore les équipementiers automobiles. Pour chacun, un arrêt d’activité qu’il provienne d’une panne informatique ou d’un autre incident a un impact immédiat sur le chiffre d’affaires et donc la santé de l’entreprise. Il est donc essentiel que nous soyons capables d’assurer à tous nos clients, quelles que soient leurs spécificités, une reprise d’activité rapide (RTO) avec un minimum de perte de données (RPO). Cela est rendu possible grâce à des équipes d’experts qui se chargent en amont de la sécurité sur toute l’architecture du logiciel de A à Z. 

Comment un éditeur peut-il assurer la sécurité de son logiciel ?

Concrètement, il existe de multiples normes pour encadrer les différentes couches de sécurité à mettre en place lorsque l’on propose une solution logicielle. Pour cela on peut se référer aux normes ISO 9001 (Système de la gestion de la qualité), ISO 20000 (IT Service Management), ISO 27001 (Information Security Management) ou encore à la SSAE18 SOC 1 et 2. Ces normes doivent aussi être traduites en bonnes pratiques à communiquer aux entreprises.

Le rôle de l’éditeur consiste à s’assurer que toutes les étapes de la construction de son logiciel sont complètement sécurisées et irréprochables depuis sa conception jusqu’à son déploiement et son utilisation.

Proposer une offre dans le cloud demande-t-il des sécurités supplémentaires ?

Ce qui fragilise les systèmes distants, et qui constitue aussi leur clé de voûte , c’est le réseau et les flux d’informations. Chaque point de connexion est potentiellement une porte ouverte à des intrusions malveillantes. Il faut donc avoir des approches de défense irréprochables. À commencer par respecter une séparation des réseaux physique et logique, connaître à tout moment les sécurités périmétriques et maîtriser tous les points de contact entre réseau interne et externe. Clairement, il est très difficile pour les entreprises de maintenir ce niveau de sécurité avec leurs ressources internes. Chez QAD, nous avons des officiers de sécurité très performants dont c’est le métier de surveiller et d’auditer en permanence la surveillance des réseaux clients. 

Il faut aussi penser au stockage des données, hébergées dans les Data Centers dont la protection est telle qu’on les compare souvent à des chambres fortes. Afin d’assurer le plus haut niveau de sécurité, il est important de choisir des prestataires de confiance et situés dans une zone géographique proche des clients, afin de limiter les risques.

Deuxièmement, pour assurer la protection de ces données, il faut sécuriser leur transmission. Cela nécessite un système d’alerte constant, une surveillance de tous les instants afin de pallier les brèches de sécurité et être à jour de tous les “patchs” transmis par les éditeurs. C’est un monde qui n’admet pas d’avoir le moindre retard, car les pirates eux, font évoluer leurs menaces sans attendre.

Vous parlez de menaces potentielles, quelles sont les plus dangereuses ?

Par menace, j’entends particulièrement les tentatives d’intrusions dans les systèmes des Data Centers. Elles sont quotidiennes ! Si elles sont relativement bien déjouées la plupart du temps, il est nécessaire d’être vigilant et d’anticiper les nouvelles stratégies que les “pirates” inventent. Pour cela, nos équipes réalisent en permanence des tests de pénétration afin de détecter d’éventuelles failles pour rester proactives et anticiper les nouvelles menaces.

D’autre part, nous effectuons systématiquement une mesure des risques chez nos clients, grâce à un système d’audit de sécurité HealthCheck. À travers un questionnaire précis, nous sommes capables de fournir une évaluation de la sécurité des infrastructures de nos clients et si possible de quantifier les risques encourus pour la continuité de l'activité.

À propos de QAD :

• 40 ans d’expérience dans les ERP pour les industriels
• Plus de 1950 collaborateurs à travers le monde
• Une équipe de 100 collaborateurs en France
• Plus de 4000 sites et 300 000 utilisateurs
• Des clients dans plus de 100 pays