A chaque semaine écoulée son lot d’actualités nous rappelant le besoin grandissant de sécurité dans les outils numériques dont l’omniprésence n’est plus à démontrer dans nos vies personnelles comme professionnelles. Ces systèmes d’information, de plus en plus complexes et critiques, souvent répartis chez de nombreux prestataires de services, posent sans cesse de nouveaux défis devant être relevés de manière collective afin de résister à l’épreuve de la réalité. La crise sanitaire de cette dernière année n’aura fait qu’étayer ce constat déjà bien établi en conduisant de grands pans supplémentaires du monde du travail dans l’écosystème délicat et changeant du travail à distance.
Au cœur de cette complexité, et très au fait de son rôle central dans la maîtrise de toutes ces problématiques, Atol CD propose une gestion de la sécurité dès les premières phases du déroulement des projets à l’aide d’une approche pragmatique par la gestion de risques. Nos équipes sont formées et outillées pour résister aux menaces identifiées, et notre gestion des déploiement et de l’exploitation fait la part belle aux outils automatisés limitant l’erreur humaine.
# Gestion par les risques
La sécurité n’est pas un état absolu, mais un ensemble hétéroclite de mesures et d’outils calibrés pour protéger un périmètre donné de menaces précises. La méthodologie de gestion des risques mise en place au sein d’Atol CD vise précisément à identifier ces menaces et à proposer la réponse la plus adaptée pour chaque périmètre.
En particulier, dans le cadre de la protection de l’activité de nos clients, l’objectif est d’assurer le bon fonctionnement des applications mises à disposition selon trois critères principaux, que sont la Disponibilité, l’Intégrité et la Confidentialité.
C’est dans un souci de disponibilité que nous nous associons à l’hébergeur français OVHCloud afin de bénéficier de ses datacentres et de son expertise en matière d’infrastructure physique. En revanche, nos équipes maîtrisent la totalité du cycle de vie des systèmes d’informations hébergés, depuis leur déploiement jusqu’à leur exploitation et leur sauvegarde, afin d’assurer une intégrité et une confidentialité optimale des données manipulées par les applications.
# Security by design
Derrière cet emprunt à l’anglais se cache le fait de promouvoir une certaine culture de la sécurité dans tous les aspects de nos activités métier et support. En particulier, la prise en compte des besoins et problématiques de sécurité se fait dès les premières phases du projet, au même titre que les autres contraintes et objectifs.
Toutefois, les bonnes pratiques et principes sans outillage adéquat ne peuvent que partiellement répondre aux diverses problématiques. C’est pourquoi nous embarquons dans notre usine logicielle (s’appuyant sur Jenkins) une batterie d’outils relatifs à la sécurité et à la qualité du code, tel que SonarQube, ou permettant une analyse des dépendances du projet par rapport aux bases de vulnérabilités informatiques connues, tel que DependencyTrack. Le code source ainsi livré est donc dans un état connu et bien maîtrisé.
# Industrialisation des déploiements
L’erreur humaine et les manquements lors de la configuration des systèmes sont une cause extrêmement commune d’événements de sécurité pouvant être très graves. Au-delà de la culture sécurité et de l’outillage évoqués précédemment, il est donc nécessaire de tendre à l’industrialisation des processus et procédures de déploiement et d’exploitation.
En standardisant le travail à effectuer et en le confiant à un ensemble d’automates conçus pour cet usage, Atol CD se met en capacité de déployer, d’administrer et de maintenir un nombre important de systèmes complexes en garantissant que l’état réel de ces systèmes correspond à l’état souhaité, décrit par nos administrateurs techniques.
Cette combinaison de pratiques et d’outils, à la lumière d’une approche par les risques, a conduit Atol CD à développer une plateforme d’hébergement et un environnement de travail unique. Cette plateforme est ainsi utilisée aussi bien pour l’évolution et l’hébergement d’applications internes que pour les projets de nos clients, témoignant de notre expertise sur cet ensemble d’outils.
Laisser un commentaire