Stéphane Moinard nous parle de son rôle de RSSI au sein de QualNet
Article publié le 24 février 2016
La sécurité informatique est un point crucial pour QualNet, éditeur de logiciels. D’où l’importance d’avoir une personne responsable de la sécurisation de nos systèmes d’information. J’interroge donc aujourd’hui Stéphane Moinard, sur son rôle de Responsable de la Sécurité des Systèmes d’Information (RSSI).
Quel est ton rôle au sein du processus Assurer la Sécurité du Système d’Information ? Quelles sont tes activités principales ?
Stéphane : Je suis RSSI (Responsable de la Sécurité des Systèmes d’Information).
Je dois m’assurer en permanence que notre système informatique soit sécurisé, c’est-à-dire que personne ne puisse s’introduire dans le système de façon inopinée et que les données confidentielles restent confidentielles. C’est une fonction qui couvre plusieurs domaines où je dois garantir l’information, la formation, et l’alerte.
Mon rôle est aussi d’évaluer si nos développements informatiques respectent les normes de sécurité actuelles.
Pourquoi sécuriser les applications Intraqual ? Quels en sont les bénéfices pour nos clients ?
Stéphane : Nos applications peuvent contenir des données sensibles, à caractère médical et personnel, ou bien des données à haute valeur pour nos clients tels que des secrets industriels et de fabrication. Nous nous portons garants du stockage, de la sauvegarde et de la non divulgation de toutes ces données. Aussi, nous devons nous assurer de respecter les obligations que nous imposent les normes législatives en terme de sécurisation des systèmes d’information, ainsi que le cadre contractuel avec chaque client.
La sécurisation de nos applications est primordiale pour nos clients. Nous devons leur proposer des logiciels solides et respectant l’état de l’art en termes de sécurité car ils peuvent contenir des données sensibles ou des informations stratégiques pour les métiers des clients. Il faut donc que je garde un œil sur tout ce que nous fabriquons et que je ne me limite pas au système d’information au sens restrictif du terme.
Les applications sont-elles les seules choses à sécuriser ?
Stéphane : Les applications ne sont pas les seules choses à sécuriser. Nous parlons de deux types de sécurité :
La sécurité passive : c’est notre organisation, notre manière de fonctionner. Nous nous imposons en interne des règles de sécurité recensées dans notre charte d’utilisation des moyens informatiques que chacun s’engage à respecter.
Par exemple nous sécurisons nos messageries (nous n’y accédons pas sous n’importe quelle condition), nous verrouillons nos sessions au moment où nous quittons nos postes de travail. Nous changeons très régulièrement tous les mots de passe (et chacun s’engage à ne pas les divulguer). Etc.
Tout cela fait partie de notre quotidien, notre organisation, c’est devenu naturel chez QualNet.
Nous parlons aussi de « sécurité active » : nous mettons en place des mécanismes comme des antivirus et des firewalls (ou pare-feu) pour s’assurer qu’aucun intrus ne puisse pénétrer dans nos systèmes et dans nos serveurs informatiques. Il est impératif de sécuriser nos SI avec des moyens efficaces.
Nous proposons aussi à nos clients les applications en mode hébergé. Sécuriser l’hébergement va de pair avec la sécurisation des logiciels QualNet. Notre niveau d’exigence en termes de sécurisation a augmenté progressivement. D’autant que certaines de nos applications sont accessibles depuis Internet, donc encore plus exposées aux risques.
Nous disposons d’un certain nombre de procédures pour garantir la sécurité de ces hébergements :
- des accès très sécurisés, avec plusieurs questions posées à l’entrée
- un système de contrôle de vérification avec différents niveaux de sécurité
Evidemment chaque client étant unique, nous nous adaptons à leurs exigences sur les solutions que nous hébergeons et nous proposons ainsi de multiples options telles que du filtrage, des systèmes d’identification personnalisés, etc.
Quels sont les procédés utilisés pour sécuriser les SI ?
Stéphane : Comme expliqué plus haut, nous utilisons des Firewalls et des antivirus ainsi que différentes procédures dans notre organisation (traçabilité des actions sur les serveurs, de la gestion individuelle des droits, des contrôles d’accès, etc.). D’autres procédés sont en place :
- des audits de sécurité sont réalisés de manière volontaire. En effet, la DSI de Sofaxis (notre maison mère) nous aide dans notre démarche sécuritaire en auditant périodiquement nos différents SI (via des tests d’intrusion pour nos firewalls et autres contrôles).
- une démarche systématique de tests est effectuée sur nos applications dans lesquelles nous tentons de nous introduire illégalement dans le système. Cette démarche nous permet de vérifier au plus tôt si nous n’avons pas oublié de combler certaines failles et ainsi de les corriger. D’ailleurs, nous allons faire réaliser cette année un audit complet de notre référentiel de sécurité informatique.
- nos clients eux-mêmes peuvent nous remonter un certain nombre d’informations liées à la sécurité. Ces informations sont systématiquement analysées et les problèmes corrigés si ceux-ci sont avérées.
- enfin, un abonnement à un système de veille sécuritaire nous alerte plusieurs fois par jour sur d’éventuelles failles dans notre système. Ce système nous envoie régulièrement des informations sur les bonnes pratiques plus ou moins généralistes autour de la sécurité, des informations sur les évolutions réglementaires et des résumés sur nos pratiques.
Aujourd’hui il est devenu naturel chez QualNet de prendre en compte l’aspect sécurité lorsque nous développons nos applications.
Quelque chose à rajouter ?
Stéphane : Le processus Assurer la Sécurité du SI nécessite des ressources non négligeables chez QualNet.
Nous espérons pouvoir progressivement améliorer encore nos produits pour proposer à nos clients un certain nombre de prestations qui concernent la sécurité et des services tels que le chiffrement, la signature électronique et de nouveaux systèmes d’identification.