Sécurisation des données clients : le point de vue du prestataire Cloud

Selon l’édition 2024 de l’étude annuelle Global Digital Trust Insights du cabinet de conseil et d’audit PwC, la proportion d’entreprises ayant subi une violation de données de plus d’un million de dollars est passée de 27 à 36% en un an ! Parallèlement, seules 2 % des organisations optimisent et améliorent de manière continue tous les aspects de leur résilience en cybersécurité. Dans ce contexte, le rôle du prestataire cloud est déterminant. « Infomaniak a développé une approche appelée security by design, explique Johann Laqua, Chief Information Security Officer pour Infomaniak.

Celle-ci repose sur une analyse de risques continue et une remise en question permanente de toutes les étapes et composantes qui touchent aux données ». Définition du risque et vérification processus, y compris d’un éventuel lien avec un ou des partenaires externes, contrôles de sécurité à toutes les étapes d’un projet… Une approche holistique qui suppose que « tous les aspects du traitement des données personnelles soient étudiés, en prenant en considération toutes les parties prenantes et leur impact sur notre SMSI (Système de management de la sécurité de l’information) ». L’approche security by design repose d’abord sur des pentests de sécurité réalisés par les équipes d’Infomaniak pour détecter les vulnérabilités. En complément,  un programme de bug bounty avec des chercheurs et des hackers éthiques est organisé de même que des audits avec une entreprise externe.

Miser sur l’intelligence collective

En adossant son programme de bug bounty avec YesWeHack, Infomaniak s’appuie sur le dynamisme d’une vaste communauté de chercheurs de bugs et de hackers éthiques, pour mettre à l’épreuve la sécurité de ses infrastructures. « C’est avec l'intelligence collective de cette communauté que nous assurons le plus haut niveau de sécurité possible à nos clients. Les vulnérabilités identifiées sont traitées en interne dans les délais les plus brefs, pour une analyse de leur impact et de leur criticité », précise Johann Laqua.

Si l’anticipation est au cœur de la stratégie d’Infomaniak, il arrive parfois qu’il faille réagir à une situation de crise, lorsqu’un service est indisponible, qu’une faille de sécurité est identifiée, ou que l’intégrité d’un service soit compromise. Dans ces cas de figure, la capacité de réaction est déterminante. Johann Laqua explique : « Nous disposons d’une équipe d’astreinte de jour comme de nuit pour réagir et mobiliser les personnes responsables en mesure d’intervenir rapidement pour identifier le problème, analyser la situation et surtout relancer l’activité du service qui est impacté en appliquant nos plans de continuité d’activité (PCA) ». 

Le rôle-clé du facteur humain

« La technique ne règle pas tout, affirme Johann Laqua. C’est pourquoi nous cultivons un état d’esprit positif et humain, même lorsqu’il s’agit de sécurité ». Ainsi, Infomaniak a mis en place un dispositif interne d’alerte opérationnel 24/7. Protégés par une instance de confiance garantissant l’anonymat, les collaborateurs peuvent à tout moment signaler une éventuelle irrégularité sans encourir de sanctions.

« L’ensemble des collaborateurs d’Infomaniak sont sensibilisés à ce mécanisme et savent comment l’activer, le cas échéant ». Plus de 70% des équipes d’Infomaniak (entreprise certifiée ISO 9001 et ISO 27001) ont un profil d’ingénieurs hautement qualifiés. Ils conçoivent et gèrent les data centers afin de garantir un contrôle de toute la chaîne de production : conception, design, développement, gestion des infrastructures, monitoring, surveillance, gestion des vulnérabilités, accès physiques et réseau.