Digitemis : un œil extérieur sur la sécurité

Experte en sécurité de l’information et cybersécurité, la société Digitemis est multi-sollicitée. Son rôle : auditer les entreprises et organisations et les accompagner par des recommandations. Y compris sur la protection des données personnelles, pour lesquelles « les entreprises sont à des années lumières de leurs obligations ».

Pour se mettre en conformité, il reste moins de deux ans. Le 25 mai 2018, toutes les entreprises et organisations devront s’être alignées sur le Règlement général sur la protection des données. Ce règlement, adopté en mai 2016 par les états membres de l’Union Européenne, est le nouveau texte de référence. Documents bancaires, de santé, données client, informations sur le personnel, celles transmises aux partenaires et sous-traitants…, toutes les données à caractère personnel sont concernées.

Pour Ludovic de Carcouët, directeur de Digitemis, la protection des données personnelles est parmi les principaux points négligés par les entreprises. « C’est un chantier immense dont on est au tout début puisque les gens ne savent pas la réglementation. Les entreprises sont à des années lumières de leurs obligations Il n’est pas rare de voir des données sur les salariés, comme les bulletins de salaire, accessibles sans aucune garantie de sécurité. »

La protection des données personnelles est l’une des spécialités de Digitemis. La PME vendéenne revendique une position de leader sur le sujet, car premier organisme français à obtenir 4 labels CNIL pour ses procédures d’audit. Protéger ces données est une obligation, c’est aussi un comportement responsable qui peut se transformer en avantage concurrentiel dès lors qu’il « renforce la confiance du client ».

Un rôle d’expert

Mais au-delà de ce point particulier, Digitemis se définit plus largement comme étant experte en sécurité de l’information. « Nous aidons les entreprises à identifier leurs vulnérabilités et nous les accompagnons pour y remédier. » La première étape consiste à comprendre le contexte et les besoins : existe-il des données sensibles à protéger, quels sont les échanges avec les clients, partenaires et sous-traitants, quels sont les moyens de protection en place ? Ce qui va de considérations très techniques comme l’étude de l’architecture du système d’information avec éventuellement « des tests d’intrusion pour accéder aux données sensibles », jusqu’à des échanges sur « les procédures mises en place pour contrôler l’accès aux locaux ».

De là découlent des recommandations. « Il n’existe pas de niveau de sécurité absolu. Tout est fonction des besoins métiers de l’entreprise. Par exemple, dans une société de conseil on pourra très bien travailler sans informatique pendant 24 heures. Alors que dans d’autres secteurs comme la logistique, la moindre coupure d’accès au téléphone ou au système d’information se traduit par des retards de livraison ou des pénalités à payer. Notre rôle, c’est d’émettre des recommandations proportionnées aux enjeux de sécurité de chaque entreprise. »

L’indépendance, gage de confiance

La suite est de la responsabilité du client, Digitemis ne met pas en œuvre de solutions. « Nous avons le rôle de l’œil extérieur, du tiers de confiance. Nous restons indépendants de l’entreprise et de ses partenaires. C’est ce qui nous permet d’évaluer l’organisation interne au même titre que les prestataires et sous-traitants. Au final, c’est ce qui permet à tous de monter en compétences. »

Améliorer le niveau de sécurité coûte-t-il très cher ? « Pas forcément », estime Ludovic de Carcouët. « Dans une première phase, un échange à base de questions peut suffire à sensibiliser et faire monter en sécurité. Il s’agit de regarder là où les gens n’ont pas l’habitude de regarder, pour donner les bons réflexes. L’idée, c’est d’aider les entreprises, qui reviennent vers nous lorsqu’elles ont des problèmes plus complexes. »

À l’affût de « bons profils »

Digitemis cible les entreprises et organisations de toutes tailles, dont les PME, dans un esprit de service de proximité. Son équipe, qui compte une quinzaine d’ingénieurs, doit faire face à une demande grandissante. Si bien qu’il est prévu à l’avenir de recruter « une dizaine de personnes par an ». L’entreprise recherche des profils juniors et seniors qui ne seront opérationnels qu’après un nécessaire « complément de formation » en interne. « Nous ne sommes pas limités par la demande du marché mais par le rythme des recrutements. »

Roland Le Bouëdec

Source : Le Mag Numérique

Je partage

Derniers articles

Analyse des Métriques XSS : comprendre l’Impact des injections de code côté client

Lors des tests d’intrusion, l’injection de code côté client est généralement plus aisée à découvrir qu’une injection côté serveur. Le nombre de paramètres dynamiques transitant du back au front, la difficulté d’échapper correctement à l’entrée et à la sortie et la multitude d’encodage liés à l’affichage peuvent être des vrais casse-têtes pour qui souhaite faire la chasse à la XSS. Le JavaScript malveillant semble ainsi avoir de beaux jours devant lui. Cependant, il n’est pas rare qu’à l’issu de l’audit, la criticité d’une telle injection découle directement de la configuration des cookies présents sur l’application. En effet, l’absence de l’attribut HttpOnly majore irrémédiablement les risques liés à ce type d’attaque. Néanmoins, cela signifie-t-il que la présence de cet attribut doive absolument amenuiser la criticité d’une injection ?

Lire l'article

Angular, N’Tier et HttpOnly

Avec l’apparition au cours de la décennie 2010 des environnements de travail Javascript de plus en plus puissants, l’architecture N’Tiers, si elle était déjà une norme dans le contexte d’application d’entreprises au cours des années 2000, a pu voir son modèle s’étendre à de nombreuses solutions Web. Ce modèle repose sur l’utilisation de technologies exécutées par le navigateur. Or, il arrive parfois que cette couche doive gérer une partie de l’authentification de l’utilisateur, pourtant une recommandation courante sur l’authentification est qu’elle ne doit jamais être côté client. Aussi, les cookies devraient toujours posséder l’attribut HttpOnly, empêchant leur lecture par une couche Javascript et ce afin d’empêcher tout vol de session lors d’une attaque de type XSS. Pourtant, cet attribut empêche littéralement l’application front-end de travailler avec ces éléments. Comment gérer au mieux ces questions sur ce type de déploiement ?

Lire l'article