Locam mise sur l’audit régulier pour améliorer sa posture de sécurité
La filiale du Crédit Agricole demande à Certilience de mettre régulièrement au défi la sécurité de son système d’information, contre les menaces externes comme internes, dans le cadre d’une démarche d’amélioration continue.
Locam, filiale du groupe Crédit Agricole fait appel à Certilience depuis l’automne 2016. Christophe Samard, son RSSI, justifie l’approche de manière simple : « il s’agit d’identifier les vulnérabilités, afin de pouvoir établir des plans d’action ». Car tout est là affaire de pragmatisme : « dans la sécurité, la question est d’investir au bon endroit. Faire tester nous permet d’identifier et de hiérarchiser les priorités, afin de mettre les moyens là où les vulnérabilités sont les plus critiques ».
Dans la pratique, un premier audit a porté sur la surface d’attaque exposée sur Internet. Un second a concerné la menace interne, à partir d’un poste de travail standard comme celui qui serait fourni à un stagiaire. Le spectre traité est large : exposition en ligne, gestion des correctifs, des droits d’accès, du contrôle d’accès applicatif. Le tout sur environ une semaine : « on peut trouver des choses auxquelles on ne s’attend pas », reconnaît Christophe Samard.
Dès lors, recevoir son premier rapport d’audit n’est pas forcément plaisant. Mais « le fait d’avoir un œil externe d’expert légitime le discours du RSSI et les budgets d’investissement, qui peuvent être parfois assez conséquents, par exemple pour une application patrimoniale », qui n’a pas forcément été conçue avec des exigences de sécurité cohérentes avec les besoins actuels. « Légitimer une refonte n’est pas forcément facile. Mais le rapport d’audit permet d’objectiver ». Et recourir à des audits récurrents, « c’est aussi tenir compte de l’évolution de la nature de la menace ». Et être mieux armé face à elle.
Le recours à ces audits s’inscrit dans une démarche d’amélioration en continu. Il faut dire que Locam appartient à un groupe bancaire et évolue sur un secteur réglementé. Mais avec sa taille de PME, « nous avons besoin de nous entourer de compétences pointues sur ces sujets, au-delà des capacités de l’équipe interne » ajoute Christophe Samard.
La sécurité est ainsi loin d’être absente des politiques internes : on y trouve « des points comme le durcissement des machines, des postes de travail, la sécurisation des applications et des terminaux mobiles. Ce sont des sujets complexes qui peuvent être perçus comme presque triviaux. L’audit permet de vérifier si l’on est bien à l’état de l’art et de s’assurer de la qualité du travail que l’on a pu confier à un prestataire ». Et au-delà, car « chaque changement intègre depuis quelques années déjà un volet sécurité ». Celle-ci est présente « dans tout le processus projet, depuis la conception jusqu’à la mise en production. Mais on contrôle que tout a été bien fait ». Ce contrôle de la posture de sécurité « vient aussi compléter les plans de reprise d’activité ».
Et les domaines affectés peuvent être étendus : « le rapport permet de regarder ce qui, dans nos processus internes, a conduit à la situation observée », pour l’application des correctifs, par exemple. Dès lors, les processus sont également concernés par la démarche d’amélioration continue.
Mais sans surprise, « le plus facile à traiter, c’est la technique. Le plus difficile, ce sont les utilisateurs, de leur expliquer qu’il y a des choses à bannir ou à améliorer dans leurs habitudes et leur façon de travailler. Les efforts sont conséquents au départ et dans la durée. Et la sensibilité varie d’une personne à l’autre ».