L’ère de la transformation numérique est à nos portes. Le cloud, la virtualisation et la conteneurisation sont en train de se normaliser. Les acteurs majeurs de secteurs tels que la finance ou la santé, sont confrontés à de jeunes pousses plus agiles qui émergent en offrant de nouvelles technologies. Ce qui leur permet d’acquérir un avantage concurrentiel considérable grâce à plus de rapidité de mise sur le marché, de flexibilité et de résilience. Leur niveau de compétitivité contraint les entreprises établies à devoir également adopter ces nouvelles technologies afin d’assurer ou de reprendre leur position de leader sur le marché.

La période actuelle est passionnante pour les technologies B2B ; qu’en est-il du moteur de l’entreprise, à savoir les applications métier critiques ? Bien que la valeur ajoutée d’applications cloud et SaaS soit largement reconnue par les entreprises, leur sécurité reste encore négligée, mettant à mal la sécurité de l’organisation de manière plus globale.

Le cœur de l’entreprise : l’application métier critique

Il est important que le DSI ait une visibilité complète sur l’ensemble des informations qui circulent, et sur les applications qui sont installées sur les différents terminaux et machines des employés. En effet, selon le service et le secteur d’activité de l’organisation, chaque employé dispose de sa propre liste d’applications critiques et de données associées qui, en cas de compromission ou de perte, peuvent mener à une interruption à durée indéterminée de l’activité. Il peut s’agir par exemple, d’applications de transaction financière avec leurs données client sensibles associées ; d’ERP qui aident à gérer les stocks de détaillants ou d’hôpitaux ; ou encore de transactions relatives aux dossiers de santé électroniques critiques, qui stockent des informations personnelles de santé essentielles pour les prestataires de soins de santé, les hôpitaux et les assureurs. Quel que soit le type d’applications, celles-ci ne doivent pas être utilisées à l’insu de l’organisation.

Malheureusement, quel que soit le service, de nombreux responsables prennent des risques avec leurs applications métier qu’ils ne pensent pas à sécuriser, ce qui compromet à la fois leurs investissements financiers dans ces applications et la pérennité de leur relation avec leurs clients. Nos récentes recherches indiquent d’ailleurs que 61 % des décideurs IT estiment que le moindre temps d’indisponibilité affectant leurs applications critiques perturberait énormément leur activité. Malgré cela, 70 % des entreprises interrogées ne considèrent pas la sécurité de ces applications comme une priorité. Quelques actions simples permettent pourtant de combler leurs lacunes :

1. Identifier les applications les plus critiques. Le responsable de la sécurité doit avoir une connaissance parfaite de l’entreprise, et bénéficier tout particulièrement d’une visibilité complète sur les applications métiers utilisées, ainsi que leur usage par les différents services afin de savoir exactement ce qui doit être sécurisé au sein de son réseau. Il peut s’agir d’applications SaaS ou d’applications personnalisées créées à l’aide d’outils et de méthodologies DevOps.

2. Se familiariser avec le cloud (et le sécuriser). Il est indispensable de déterminer sa stratégie cloud, son plan de migration, et son planning en amont de toute opération de déplacement des applications locales vers le cloud ou de nouvelles applications SaaS. Ainsi, lorsqu’une organisation souhaite effectuer ce type de basculement, la collaboration avec les services concernés de manière transversale en vue de garantir la sécurité des accès à privilèges doit être au cœur de ses préoccupations.

3. Sécuriser l’accès des administrateurs qui gèrent les applications métier critiques. Une fois les applications critiques identifiées, il convient de collecter toutes les informations d’identification d’administrateur qui y sont associées, et de mettre en place un système de rotation des mots de passe. Ce faisant, le DSI assure leur renouvellement ainsi qu’une meilleure protection des comptes, et veille à en faire de même pour l’infrastructure au sein de laquelle se trouvent ces applications. Il doit ensuite isoler les sessions pour empêcher le vol de données d’identification, et fournir une piste de vérification complète de toutes les activités privilégiées impliquant les applications stratégiques de l’organisation. Cependant, dans de nombreux cas, les administrateurs de ces applications ne font pas partie de l’équipe informatique, mais se trouvent dans des services tels que la finance, les ressources humaines ou encore le marketing.

4. Ne pas oublier les machines. Outre la protection des comptes gérés par des humains, il ne faut pas négliger la sécurisation des informations d’identification et les comptes de service à privilèges utilisés par des machines et applications. Les informations d’identification codées en dur représentent un risque de sécurité important pour les applications critiques et doivent être éliminées.

5. Limiter le risque que des postes de travail non protégés ne vulnérabilisent les applications métier critiques. La suppression des droits administrateur locaux empêchera le téléchargement de programmes malveillants sur des postes de travail Windows et Mac, et protègera ainsi les applications de potentielles attaques. Pour aller plus loin, l’entreprise devrait envisager d’investir dans des solutions de protection contre le phishing, et mettre en place un programme de sensibilisation des utilisateurs finaux à la sécurité afin qu’ils soient également capables de reconnaître ce type d’attaques.

Les conséquences de la compromission des applications critiques sont assez claires : impact négatif sur le chiffre d’affaires, dégradation de la relation client et risques commerciaux persistants liés aux données compromises. Pour pallier cette vulnérabilité, les solutions de sécurité d’accès à privilèges proposent une approche globale de la protection de ces applications. Quelle que soit l’évolution de l’environnement et des utilisateurs, elles permettent au DSI de hiérarchiser et protéger les applications et les données les plus précieuses de son organisation. Grâce à la protection des processus critiques de l’entreprise via la sécurisation des accès à privilèges, toutes les personnes responsables du succès de l’entreprise sont gagnantes.