RGPD Données personnelles atteindre conformite AWS

Depuis son application en mai 2018, le Règlement Général sur la Protection des Données (RGPD, dit GDPR en anglais « General Data Protection Regulation ») impose davantage de rigueur et de transparence dans le traitement des données personnelles sur les plateformes numériques (sites, applications, etc.). 

Quelle que soit votre activité (grande entreprise, organisation publique…), vous êtes amené à traiter des données à caractère personnel via vos systèmes d’information. Mais employez-vous correctement les “best practices” en matière de sécurité et de conservation des datas ? 

Si vous avez déployé votre infrastructure sur un cloud public (AWS, Google Cloud, Azure, etc.), le principe de la responsabilité partagée s’applique dans la mise en oeuvre de cette conformité. En clair : le cloud provider est responsable de la sécurité du cloud. En tant qu’utilisateur, vous êtes responsable du traitement des données, de votre sécurité et de votre conformité sur cet espace.

RGPD données personnelles AWS Responsabilité partagée cloud responsable du traitement

Bien conscients de la difficulté que cela représente, les cloud providers ont créé plusieurs outils pour vous permettre d’être en règle. C’est le cas d’AWS. 

Qui doit appliquer le RGPD ? Qu’entend-on par données personnelles ? Comment les chiffrer ? Comment mettre en place une surveillance et un contrôle d’accès ? Découvrez, dans cet article, l’ensemble des informations pour y voir + clair sur ce vaste sujet, ainsi que les services disponibles chez AWS pour être « RGPD friendly ». 

Qui est concerné par le RGPD ? Qu’est-ce qu’une donnée personnelle ?

Avant toute chose, redéfinissons ce règlement et ce qu’est une donnée personnelle. 

Le Règlement Général sur la Protection des Données

Il encadre le traitement de données personnelles sur le territoire de l’Union européenne. Il renforce le contrôle par les citoyens de l’utilisation qui peut être faite des données les concernant. Il harmonise ce sujet à l’échelle de l’Europe. 

Toute organisation, publique et privée, qui traite des données personnelles pour son compte ou non, est concernée par ce texte dès lors  :

  • qu’elle est établie sur le territoire de l’Union européenne,
  • et/ou que son activité cible directement des résidents européens.

La donnée personnelle

C’est une information à partir de laquelle un individu peut être identifié ou identifiable.

RGPD données personnelles Consentement données personnelles formulaire

Une personne peut être identifiée :

  • directement (exemple : nom, prénom)
  • ou indirectement (identifiant, n° client, numéro de téléphone…).

L’identification peut être réalisée :

  • à partir d’une seule donnée (numéro de sécurité sociale…)  
  • à partir du croisement d’un ensemble de données.

La protection de ces données sensibles repose sur 5 grands principes applicables sur tout support, qu’il soit numérique ou non :

  • Le principe de finalité : la collecte a un but bien précis.
  • Le principe de proportionnalité et de pertinence : nous ne récoltons que les données dont nous avons besoin.
  • Le principe d’une durée de conservation limitée : il n’est pas possible de conserver des informations sur des personnes physiques pour une durée indéfinie. Une durée de conservation précise doit être fixée, en fonction du type d’information enregistrée et de la finalité du fichier.
  • Le principe de sécurité et de confidentialité : vous devez garantir la sécurité et la confidentialité des informations que vous détenez. Vous devez en particulier veiller à ce que seules les personnes autorisées aient accès à ces informations.
  • Les droits des personnes et le principe de consentement : les personnes concernées doivent être informées de la manière dont leurs données sont traitées et elles doivent pouvoir donner leur consentement.

RGPD & données personnelles : les droits fondamentaux des utilisateurs et vos obligations  

Nous pouvons vous en citer 4 :

Droit à la portabilité des données :

Les individus ont le droit de copier toutes les données personnelles que vous avez à leur sujet. Ces données doivent être fournies de manière à faciliter leur réutilisation.

Droit à l’oubli :

Cela donne aux individus le droit de réclamer l’effacement de certaines données personnelles, de façon à les rendre inaccessibles à des tiers.

Protection des données dès la conception :

Dès la phase initiale de conception d’un service, vous devez respecter les règles, recommandations et consignes en rapport avec la protection des données.

Notification en cas de fuite de données :

En cas de fuite de données, vous devez notifier l’autorité de supervision concernée dans les 72 heures. S’il y a un risque élevé d’atteinte aux droits et libertés des individus, vous devez également les informer.

AWS centre reglement general protection données rgpd

Le cloud AWS respecte-t-il le RGPD ?

OUI

Lors de l’entrée en vigueur de ce règlement européen, en 2018, AWS a réalisé un audit de conformité au RGPD certifiant que l’ensemble de ses services et fonctionnalités respectent bien les normes les plus élevées en matière de confidentialité et de protection des données personnelles. 

Par ailleurs, ce cloud provider dispose de certifications : ISO 27017 dédiée à la sécurité du cloud computing, et ISO 27018 dédiée à la protection des données personnelles dans le Cloud.

Quels sont les services proposés par AWS pour aider à vous  mettre en conformité avec le RGPD ?

En fonction de vos besoins, voici plusieurs services et fonctionnalités mises à votre disposition par AWS pour respecter les exigences du texte européen.

Chiffrez vos données 

  • Chiffrement de vos données au repos avec AES256 (EBS/S3/Glacier/RDS)
RGPD Chiffrement des données personnelles outils AWS
  • Gestion centralisée des clés via Key Management Service (par région AWS)
  • Tunnels IPsec vers AWS avec les passerelles VPN
  • Modules HSM dédiés dans le cloud avec AWS CloudHSM

Contrôle d’accès : restreignez l’accès aux ressources AWS aux administrateurs, utilisateurs et applications autorisés

  • Accès granulaire fin aux objets dans des compartiments Amazon S3 / Amazon SQS/ Amazon SNS et d’autres services
Contrôle d'accès : restreignez l'accès aux ressources AWS aux administrateurs, utilisateurs et applications autorisés

Surveillance et fichiers journaux : obtenez une présentation des activités concernant vos ressources AWS

  • Gestion et configuration des ressources avec AWS Config
Surveillance et fichiers journaux : obtenez une présentation des activités concernant vos ressources AWS
  • Audits de conformité et analyses de sécurité avec AWS CloudTrail
  • Identification des difficultés de configuration avec AWS Trusted Advisor
  • Fichiers journaux granulaires fins des accès aux objets Amazon S3

  • Informations détaillées sur les flux du réseau via Amazon VPC-FlowLogs
  • Vérifications et actions de configuration reposant sur des règles avec AWS Config Rules
  • Filtrage et surveillance des accès HTTP aux applications avec les fonctions WAF d’AWS CloudFront

AWS propose, par ailleurs, 4 services particulièrement intéressants pour vous accompagner dans cet objectif « RGPD friendly » :

  • Amazon GuardDuty est un service géré de détection des menaces, qui surveille en continu les comportements malveillants ou non autorisés.
  • Amazon Macie utilise le machine learning pour surveiller et protéger les données stockées dans Amazon S3.
  • Amazon Inspector est un service d’évaluation de la sécurité automatisée. Il permet de renforcer la sécurité et la conformité de vos applications déployées sur AWS.
  • AWS Config Rules est un service de monitoring. Il vérifie la conformité des ressources cloud aux règles de sécurité.

Enfin, si vous souhaitez aller encore plus loin sur ce sujet, AWS a publié un livre blanc intitulé « Navigating GDPR Compliance on AWS ». Cet ouvrage explique comment adapter les exigences du RGPD à chaque service AWS, avec un focus sur ceux concernant le monitoring, l’accès aux données, et la gestion des clefs.

En tant que décideurs, chef de projet ou DSI, si vous souhaitez savoir si vous être en règle avec le RGPD ou bien vous mettre en conformité, n’hésitez pas à contacter l’équipe de premaccess. Experte AWS, elle vous conseillera et vous proposera un accompagnement sur-mesure adapté à vos besoins.

Le cloud d’AWS est-ils conforme au RGPD ?

OUI. Amazon Web Services certifie que l’ensemble de ses services et fonctionnalités disponibles respectent les normes les plus élevées en matière de confidentialité et de protection des données personnelles imposées par le RGPD. AWS souhaitait se mettre en conformité avec le Règlement deux mois avant son entrée en vigueur, le 25 mai 2018, afin d’offrir, tant à ses clients qu’à ses partenaires, un environnement dans lequel ils peuvent développer leurs propres produits, services et solutions conformes au RGPD.

Comment se mettre en conformité RGPD sur le cloud ?

1. Chiffrez les données
2. Contrôlez leur accès
3. Assurez une surveillance continue de votre système.

Quels sont les droits fondamentaux des utilisateurs et vos obligations ?

Nous pouvons vous en citer 4 :
– Droit à la portabilité des données
– Droit à l’oubli
– Protection des données dès la conception
– Notification en cas de fuite de données

sécurité informatique intrusion cyberattaques sécurité des systèmes d'information société de sécurité informatique technologies de l'information

Confinement oblige, de nombreuses entreprises ont désormais recours au télétravail. Mais dans l’urgence de la crise du Covid-19, avez-vous tout mis en oeuvre pour optimiser le travail de vos collaborateurs et protéger les données de votre organisation ? 

Mal préparé, vous risquez d’augmenter vos risques face aux cyberattaques. Ces menaces cybernétiques peuvent prendre plusieurs formes. Il peut s’agir de :

  • Phishing (hameçonnage) : vol de données confidentielles (mot de passe, informations bancaires, etc.)
  • Ransomware : attaque avec un logiciel malveillant prenant en otage les données d’une organisation. Le ransomware chiffre et bloque l’ensemble des fichiers de l’entreprise. Suite à cette attaque, le hacker demande alors une rançon en échange d’une clé permettant de les déchiffrer à nouveau.
  • Vol de données directement sur le réseau d’entreprise suite à une introduction malveillante.
  • Faux ordre de virement (FOVI) : via cette escroquerie – parfois appelée « escroquerie au président » – les malfaiteurs incitent, par la tromperie, des employés d’une société à leur transférer de l’argent en se faisant passer pour le dirigeant. 

Lors de l’appel au confinement total en France, le 17 mars 2020, le niveau de préparation au télétravail était très variable d’une entreprise à une autre. Aussi, pour vous aider à préserver votre système d’information de toute cyber-attaque, voici plusieurs conseils. Ils sont à destination tant des employeurs que des télétravailleurs.

Employeurs, pensez VPN et sauvegardes

télétravail et cybersécurité sécuriser les systèmes lutte informatique malware sécurité des données solution de sécurité
  1. En premier lieu, déployez, autant que possible auprès de vos collaborateurs, du matériel interne sécurisé. Lors de cette période de confinement, tous peuvent être amenés à travailler avec leur équipement personnel. Or, rien ne nous garantit le niveau de sécurité de ces outils destinés d’ordinaire à des fins personnelles (réseaux sociaux, streaming, etc.).
  1. Limitez l’accès à vos données vers l’extérieur : pour cela, accordez cet accès à un nombre restreint de collaborateurs ou services indispensables.
  1. Utilisez un VPN (Virtual Private Network ou « réseau privé virtuel ») pour permettre à vos salariés d’accéder à votre infrastructure depuis l’extérieur. Un VPN chiffre les connexions externes, et renforce la sécurité numérique de votre système en n’autorisant l’accès qu’aux équipements authentifiés. 
  1. Pensez à mettre à jour régulièrement vos équipements fixes et mobiles mis à disposition de vos salariés. Ces mises à jour sont nécessaires, voire indispensables, car, en leur absence, les hackers peuvent accéder à vos données via des failles de sécurité.
  1. Effectuez régulièrement deux sauvegardes de l’ensemble de vos données : d’abord sur un hébergement externe (Cloud), puis en second temps sur un support déconnecté de votre réseau (type disque dur externe protégé d’un mot de passe).
  1. Dotez vos équipements d’antivirus professionnels. Il en existe plusieurs (Bitdefender, Avast Business, etc.). En fonction de votre parc informatique, il doit être capable de prendre en charge les environnements Windows ou Linux, ou bien les deux. Il doit être sans cesse à jour des menaces existantes, et proposer une protection contre les menaces les plus récurrentes (virus, cryptomining…).
  1. Surveillez l’activité liée aux accès externes à votre système. Et ce, afin de détecter toutes activités anormales et toutes connexions suspectes qui pourraient être signe de cyberattaque.

Salariés, voici comment maximiser vos conditions de télétravail

  1. Optimisez la diffusion du réseau Wifi dans votre domicile. Pour cela, l’Arcep (Autorité de régulation des communications) recommande de placer votre box dans une pièce centrale de votre habitation, dans un endroit dégagé, et d’éviter de poser à proximité tous autres équipements sans fil (type téléphone).
  1. Si vous disposez de la fibre, sur votre box, vous pouvez dédier un réseau Wifi à votre poste de travail. En effet, les box utilisées avec la fibre disposent de deux réseaux Wifi indépendants. Selon l’Arcep, vous pouvez en dédier un pour le VPN de votre employeur, et le second pour les loisirs de votre famille. Ainsi, vous ne subirez pas un ralentissement de réseau si l’un de vos enfants lance de la vidéo en streaming pendant que vous travaillez. 
télétravail et cybersécurité réseau informatique militer le piratage protéger votre entreprise audit de sécurité informatique éviter les attaques
  1. Autre solution si le réseau Wifi ralentit car vous êtes nombreux à y être connectés à votre domicile : branchez votre ordinateur à la box grâce à un câble Ethernet.
  1. Côté sécurité, avant de vous connecter à des données sensibles de votre entreprise, pensez à vérifier que votre accès Wifi est sécurisé d’un mot de passe fort, comprenant majuscules, minuscules, chiffres et caractères spéciaux.
  1. Enfin, pour ne pas saturer le VPN de votre entreprise, optez pour les outils collaboratifs pour travailler à distance avec vos collègues. Des plateformes comme Office 365 ou G Suite vous permettent de travailler à plusieurs sur tout type de document (Word, Excel, PowerPoint, etc.), de communiquer aisément par tchat ou vidéo (Hangout ou Teams), et de partager des documents (OneDrive ou Google Drive). En cette période d’intensification du télétravail, ces outils prouvent une fois de plus leur intérêt et leur efficacité : 
  • ils nous permettent de maintenir une certaine productivité durant le confinement, 
  • ils assurent un niveau d’information commun entre chaque collaborateur, 
  • et ils réduisent les temps d’échanges et de réunions inutiles.

Télétravail et cybersécurité : l’après confinement

risques numériques lutte informatique défensive firewall politique de sécurité informatique

Une fois le confinement terminé, il est fort à parier que le télétravail gagnera du terrain dans les entreprises. Jusqu’à présent, contrairement à leurs homologues européens et anglo-saxons, les entreprises françaises réticentes au travail à distance étaient encore nombreuses.

En 2017, seuls 3% des Français avaient recours à cette pratique selon la Dares (Direction de l’animation de la recherche, des études et des statistiques). Ces télétravailleurs étaient majoritairement des cadres. 

Suite à cette crise sanitaire et économique, il est fort probable que de nombreux employeurs vont changer d’avis.

Chez premaccess, la cybersécurité et le travail collaboratif font partie de notre ADN. Si vous souhaitez être conseillé et accompagné sur ces sujets, n’hésitez pas à nous contacter

Quelle que soit la taille de votre société, la garantie de votre propriété intellectuelle est essentielle. Nos équipes mènent régulièrement des missions d’audit en cybersécurité au sein d’entreprises. Objectif : analyser vos process, les postes de travail, les mots de passe utilisés, etc. afin d’évaluer votre maturité en cyberdéfense, mettre en place les outils utiles, et sécuriser toujours plus ce qui fait la force de votre structure, vos compétences et votre savoir-faire. 

organisation du travail à distance télétravailleurs employeurs horaire de travail nomades travailler chez soi

Ca y’est c’est officiel, ce sera au moins 5 semaines de confinement.
Plus de 1 personne sur 3 doit ou devra travailler à distance pour assurer la continuité de son activité. Si certaines entreprises sont très réfractaires au télétravail en temps normal, les situations exceptionnelles requièrent parfois un changement qui peut être brutal. 

Au sein de notre entreprise, nous sommes habitué à travailler en équipe et à distance depuis plusieurs années. Nous sommes sur plusieurs sites (Marseille, Paris et Suisse) et nous devons faire en sorte que les choses soient fluides en toutes circonstances. Nous faisons du télétravail quand cela est possible et pertinent et organisons des rendez vous à distance quotidiennement. Notre coeur de métier est le conseil dans le cloud et le développement, alors forcément, pour nous le travail en ligne fait partie intégrante de notre ADN. 

Fort de cette expérience au long court, nous avons mis en place des bonnes pratiques qui continuent d’évoluer. Nous avons aussi cherché, découvert, testé, adapté des outils et ajusté  nos méthodes. Les maîtres mots sont flexibilité, autonomie, efficacité et connection !! HUMAINE !! 

En discutant avec nos contacts professionnels et personnels ces dernières semaines, nous réalisons que le télétravail est loin d’être la norme et le fait de travailler à domicile pour une durée indéterminée est un véritable défi pour beaucoup.

performance et bien être freelances organisation flexible qualité de travail promouvoir le travail

La situation de crise d’aujourd’hui est différente de tout ce que nous avons pu connaître avant et le modèle anglo saxon du “business as usual” devient impossible. 

Et justement, est ce que cela ne serait pas le bon moment de prendre le recul nécessaire et d’apprendre à travailler ensemble différemment ?
C’est comme ça que l’idée de cet article a germé. De nombreux articles, méthodes avec plus ou moins d’humour ont fleuri sur le net, et voici notre petite pierre à l’édifice.Quels sont les bons outils, les bons réflexes à avoir ? Comment peut on travailler différemment tout en gagnant en efficacité ? Comment nous pouvons utiliser au mieux notre temps pendant cette parenthèse improbable ?

La liste ci-dessous n’a pas vocation à être juste ou exhaustive, elle tente de partager notre expérience et aider, si cela est possible, d’autres à moins pâtir de cette situation. Pour certains ou certaines, celle ci semblera peut être simple, évidente. Dans ce cas, nous les invitons à partager leurs outils ou méthodes pour étoffer cette liste via les commentaires sur les réseaux sociaux.

Nous sommes conscients que beaucoup de métiers ne peuvent pas être fait à distance ou difficilement de manière exclusive. Peut être cette crise affectent vos collègues, clients, fournisseurs, collaborateurs ou vous même. Nous sommes tous affectés d’une manière ou d’une autre. Il existe peut être des barrières technologiques, comme ne pas être équipé avec le bon matériel et/ou les bons logiciels (VPN, Partages de fichiers).
Concentrons-nous ici sur les solutions et si vous rencontrez des obstacles, nous serons ravis d’en discuter avec vous, voir comment faire pour trouver des alternatives. Pour cela l’entraide est la clé.

Le temps de confinement peut être l’opportunité pour mieux s’organiser en interne !

  • CONNECTION : Maintenir le lien : faire des points “équipe” et en plus petit groupe. voir les réunions efficaces en vrai ou en ligne ici et les outils pour cela.
  • FLEXIBILITÉ et AUTONOMIE : Être flexible dans les horaires et comprendre les contraintes professionnelles et personnelles de chacun. La clé : être responsable et transparent.
  • APPRENTISSAGE : Utiliser ce moment pour se former. 
  • COMMUNICATION : Développer votre capacité à mieux communiquer en équipe  : savoir formuler vos peurs, vos attentes et mieux comprendre l’autre. Cela fonctionne aussi pour toute autre situation dans la vie.
  • AVOIR LES BONS OUTILS : les outils qu’on utilise pour la communication, l’organisation, les RH, l’assurance, la banque qui nous facilitent la vie et permettent une gestion autonome et en ligne.. 

Connexion : l’art de la réunion efficace (en physique ou en ligne !)

Nous avons tous vécu cette situation d’une réunion improbablement longue sans objet ni fin où l’on se serait bien retrouvé partout ailleurs. Quelques conseils pour une réunion efficace (en ligne ou non) : 

  • Avoir un ordre du jour et des documents dont les gens ont pris connaissance avant la réunion. Organiser une réunion : est ce la meilleure solution ? Si on dépasse les objectifs de la réunion initiale, prévoir un autre moment pour discuter des sujets annexes éventuellement en plus petit groupe. (cf point suivant)
  • Avoir les bonnes personnes autour de la table (même virtuelle)
  • Horaire défini et on s’y tient, on commence à l’heure, on finit à l’heure
  • Quelqu’un prend des notes (idéalement pas toujours les même) 
  • Rédaction des actions pendant la réunion – tâches, qui est responsable/impliqué, quelle est l’échéance. 
  • Un temps pour chacun. Si nous sommes sur un sujet de fond, une bonne pratique est de laisser du temps à chacun pour préparer et s’exprimer sur le sujet sans être interrompu et pouvoir exposer son point de vue.

et pour une réunion en ligne ?

Et bien les même principes s’appliquent avec quelques différences “techniques”.

  • mettre la vidéo systématiquement. On finit même parfois par oublier que nous ne sommes pas dans la même pièce !
  • Désactivez votre micro quand vous ne parlez pas surtout si vous êtes dans un environnement bruyant. N’hésitez pas à faire des signes (vive la vidéo) quand vous voulez communiquer quelque chose
  • Evitez les fonds qui change et ne vous mettez pas directement devant une source lumineuse 
  • Utilisez la messagerie instantanée “chat”/”clavardage” etc.. et le partage d’écran quand cela est nécessaire 
  • Evitez d’être plusieurs dans la même pièce à être dans la même video conférence. 
  • Si votre internet rame, privilégiez le son sur l’image et coupez la vidéo.

Les outils pour les réunions en ligne 

  • Skype : le plus : c’est déjà l’outil que beaucoup ont sur leur poste
  • Zoom – marche remarquablement bien
  • Amazon Chime
  • Whereby 
  • Jitsi (open source) 
  • Livestorm
  • Gotomeeting 
  • 8×8

Flexibilité et autonomie : l’art de l’organisation. 

Ici, l’important est de se concentrer sur ce qui doit être fait et pas comment ou quand cela doit être fait. Avec le confinement, il s’agit d’avoir une vie professionnelle, personnelle en même temps tout en restant sain d’esprit. 

La clé est donc d’avoir une tolérance pour les situations de vie comme les enfants qui passent pendant la réunion. ou encore s’organiser pour pouvoir participer au cours de sport en ligne du midi !! 🙂

Les outils organisation : Asana – Trello – Jira 

Plusieurs peuvent être utilisés de la même manière, nous avons opté pour ASANA . 

Comment nous utilisons ASANA 

Nous avons de superbes experts sur le sujet qui ont développé un art de vivre autour d’asana. Voici les quelques principes que nous attelons tous à respecter en interne : 

Comment nous faisons ?

Sprint de début de semaine, sprint de fin de semaine.

Quelques règles : 

  • Tâche, ne doit jamais faire plus de 4h, si plus, doit faire l’objet d’une subdivision
  • Que les bonnes personnes dans les tâches
  • Estimer le temps de réalisation dans nos tâches? des échéances réalistes  
  • Organisation et découpage en projets
  • Si une question, ou ressource, tout doit être dans la tâche, pas par mail. 
  • Se donner du temps pour la mise en place du système et des revues cycliques

Avantages 

  • Plus de mails en interne ou quasiment plus (et si on en reçoit, ils feront l’objet d’une tâche) 
  • Identification des points de blocage : On avance et si ça n’est pas le cas, on sait pourquoi !
  • Point de contact entre équipes rapide
  • Visibilité personnelle et collective du travail effectué et à faire, avec un niveau de priorité.

APPRENTISSAGE : Rester motivé(e) en profitant du confinement pour se former 

Quelques plateformes MOOC que l’on recommande : 

  • Coursera
  • EdX
  • OpenClassRoom
  • CloudGuru, Udemy
  • et bien sur les formations gratuites des cloud providers tel que AWS ou Azure. 

COMMUNICATION : l’outil de la communication non violente

Petite grille récapitulative de la communication non violente pour bien communiquer. 

Communication non violente
J’observe la situationJe décris la situation sans exagérer, ni accuser
J’exprime mon émotion/sentiment Je parle en mode ‘JE’, je suis, je me sens
J’exprime mon besoin J’ai besoin de…
Je fais une demande claire Sans exiger et je vérifie que la personne accepte

Pour en savoir plus sur la CNV, Marshall B Rosenberg, “Les mots sont des fenêtres ou bien ils sont des murs, Initiation à la communication non Violente”

AVOIR LES BONS OUTILS – les autres outils qu’on utilise et que l’on recommande

  • Fonctions commerciales : Pipedrive, salesforce

La base de données, c’est la base !

Quelques conseils : 

  • Avoir une nomenclature et s’y tenir / écrire une charte même courte pour un référentiel commun
  • Mettre à jour les informations. Cela peut paraître simple, pourtant c’est le plus difficile à faire. Maintenir dans le temps une base de données. 
  • Tout le monde doit mettre la main à la pâte et doit collecter et enrichir la donnée.
  • Respecter la RGPD – Connaître et comprendre le cadre légal
  • Fonctions RH

Passer sur des outils pilotés – gestion RH/Assurance Payfit /Alan et Qonto

Avantages : 

  • une gestion en ligne et quasi automatisée, des documents, bulletins dématérialisés
  • une autonomie des salariés sur leurs notes de frais, 
  • demande de congés
  • simplification centralisée des demandes
  • des rappels efficaces, centralisations des informations et compatibilité des plateformes   
  • Gestion financière / banque en ligne spécialement pour les entreprises : N26, Qonto
  • Transparence et sécurité 
  • Utilisation simple des interfaces 

Autres outils : 

  • Collaboration :
  • Klaxoon, teams

Transfert de fichier :

Wetransfer, Smash

Productivité :

Evernote, Tableau software, productivité.so, shift

Et surtout #RESTEZCHEZVOUS et prenez soin de vous et des vôtres

Les éditeurs d’applications SaaS le savent bien : les infrastructures fixes, appelées single-tenant, sont faciles à déployer mais ont leurs limites notamment en terme de maintenance. C’est pourquoi nous vous conseillons vivement de passer au multi-tenant. Nombre d’entre vous hésitent à franchir le pas.
Votre crainte : que les données de vos clients ne soient pas sécurisées.
Pourtant, sur AWS, cela est possible grâce à l’alliance de trois microservices : Cognito, IAM et DynamoDB. 

Après avoir expliqué ce qu’est une architecture multi-tenant, nous vous présentons comment utiliser ces trois services sur AWS pour la mettre en œuvre.

Qu’est-ce qu’une infrastructure multi-tenant ?

Avant d’aller plus loin, expliquons le terme « Tenant » : en anglais, il signifie « Locataire », « Client ». Chaque client rassemblant un « groupe d’utilisateurs ».

Modèle single-tenant

Dans une architecture single-tenant, une seule application est utilisée par plusieurs clients, mais chacun a sa propre version de l’application installée dans une instance dédiée. 

Ce modèle a plusieurs avantages :

  • Séparation franche entre chaque client, et donc entre chaque version de l’application.
  • Les données du client A ne sont pas mélangées avec celles du client B.
  • Chaque client possède sa propre base de données et son propre serveur d’application.
single-tenant : chaque client à sa propre infrastructure

single-tenant : chaque client à sa propre infrastructure.

Mais, très vite, il peut être compliqué à administrer. En effet :

  • Plus les clients vont être nombreux, plus il est difficile de gérer les différentes versions de l’application sur chaque infrastructure.
  • Le coût fixe pour chaque infrastructure peut être pénalisant pour les clients à faible trafic.
  • À partir de 100 clients, il est impératif d’automatiser la gestion des infrastructures, notamment avec des solutions comme BAM*.
  • À partir de 1 000 clients, ce n’est pratiquement plus gérable.

Modèle multi-tenant

À la différence, dans une architecture multi-tenant, une seule instance d’application va servir à plusieurs clients. Les ressources (et notamment les bases de données) y sont mutualisées. 

multi-tenant : une infrastructure pour plusieurs clients

multi-tenant : une infrastructure pour plusieurs clients.

Avec une seule infrastructure globale, au lieu d’une par client :

  • Il est plus facile d’en assurer la maintenance : lorsqu’une modification est apportée à un fichier, elle profite à tous les clients. Les mises à jour sont plus simples à assurer.
  • Vous réduisez vos coûts d’utilisation sur le cloud.
  • Les temps de réponse sont bien plus rapides.
  • La gestion des clients est simplifiée, qu’ils soient au nombre de 10 ou 10 000. 

En contrepartie, comme les données des clients sont mélangées, il faut que le logiciel soit développé pour séparer de manière logique les données des clients. Nous verrons plus loin que les technologies intégrées à AWS permettent de résoudre cette difficulté facilement. 

Modèle hybride

Il existe aussi une approche hybride qui permet d’optimiser son infrastructure sans avoir à faire beaucoup de modifications dans son application.

Approche hybride : mutualisation de l'application avec plusieurs bases de données dans la même instance

Approche hybride : mutualisation de l’application avec plusieurs bases de données dans la même instance.

Dans une approche hybride, seule l’application est mutualisée. Dans ce cas, chaque client dispose d’une base de données dédiée dans la même instance, ainsi que d’un login et d’un mot de passe.  Cette solution a l’avantage d’être facile à mettre en œuvre tout en commençant à faire des économies d’échelles sur les coûts d’infrastructures.

Comment faire du multi-tenant avec AWS ?

Lors de la création d’une architecture multi-tenant, l’enjeu crucial est, bien sûr, de sécuriser les datas afin qu’elles ne soient pas accessibles par tous.

Les développeurs d’applications SaaS doivent être en mesure d’identifier un utilisateur, de relier une donnée à son locataire, mais également un utilisateur à son locataire, et de savoir quels droits ont été concédés à tel ou tel user. 

Pour cela, sur le cloud d’AWS, nous vous conseillons d’associer les services DynamoDB, Cognito et IAM.

Organisez vos bases de données avec DynamoDB

Dans DynamoDB, chaque table, présente dans votre base de données, doit avoir une colonne permettant de stocker une référence au Tenant. En règle générale, il s’agit d’un identifiant client (organizationId). 

DynamoDB Dans cet exemple, la colonne “OrganizationId” permet de stocker la référence au Tenant

Dans cet exemple, la colonne “OrganizationId” permet de stocker la référence au Tenant.

Créez vos utilisateurs

En parallèle de cette gestion des tables, Amazon Cognito vous permet d’ajouter des utilisateurs à vos applications SaaS. Dans une infrastructure multi-tenant, ce service va lister les différents clients (et donc leurs utilisateurs et leurs groupes) ainsi que leurs identifiants. Par ailleurs, il va associer des attributs personnalisés à chaque utilisateur en fonction du locataire auquel il est lié afin de sécuriser son authentification, et gérer ses autorisations.

De plus, AWS gère pour vous toute la sécurité et la connexion. Tous les derniers standards, notamment les authentifications à multiples facteurs, sont disponibles sans développement de votre part.

Chaque utilisateur est membre d’un groupe. Vous pouvez ainsi gérer les accès aux données de manière fine en fonction des groupes.

Définissez des règles de sécurité

Enfin, avec IAM (Identity and Access Management), vous allez définir les règles de sécurité (polices) associées à chaque groupe. Grâce à ces règles, des filtres (LeadingKey) seront créés dans la base de données DynamoDB. Ainsi, l’utilisateur accédera exclusivement à la donnée liée au filtre. Il sera dans l’incapacité de voir le reste, comme s’il était dans une enclave dédiée.

IAM Dans cet exemple, les règles limitent aux personnes membres du groupe l’accès aux données ayant comme clé d’accès le code du client.

Dans cet exemple, les règles limitent aux personnes membres du groupe l’accès aux données ayant comme clé d’accès le code du client.

Conclusion

Entre le single-tenant et le multi-tenant, nous vous conseillons de choisir le second modèle d’infrastructure car il présente des atouts considérables : maintenance facilitée, frais allégés, gestion des clients simplifiée…

Par ailleurs, grâce à l’association des trois services d’AWS (DynamoDB, Cognito et IAM), la sécurité des données y est garantie. Et la gestion des droits d’accès aux données des clients n’est pas à faire par le développeur dans son code. Elle est gérée de manière séparée avec AWS. Cela présente plusieurs avantages :

  • La gestion du multi-tenant est indépendante du reste du code.
  • Plus généralement, la gestion du contrôle d’accès aux données est ainsi indépendante du code de l’application SaaS.
  • Il est possible d’utiliser d’autres services pour réaliser des statistiques sur les données par clients, avec QuickSight notamment.

* BAM (Build Automation Machine) est une solution innovante créée par premaccess. Elle permet d’automatiser la gestion et le cycle de vie de vos infrastructures et leur déploiement chez AWS. 

cloud aws securite données

UTILISER LE CLOUD PUBLIC NOUS AMÈNE LÉGITIMEMENT À S’INTERROGER SUR LA CONFORMITÉ AVEC LES EXIGENCES DE SÉCURITÉ DES ENTREPRISES ET DES RÉGLEMENTATIONS.

Les sujets de sécurité AWS sont globalement les mêmes que pour une infrastructure on-premise, mais nécessite une analyse spécifique liée aux particularités techniques et organisationnelles du Cloud, et aussi à la puissance des outils proposés par AWS.

En s’appuyant sur un modèle de responsabilité partagée, AWS prend en charge la sécurisation des couches basses et de l’infrastructure, et fournit à ses clients les outils permettant de sécuriser leurs applications et données. Ainsi, il appartient à chaque entreprise utilisant le cloud AWS d’optimiser la sécurité de sa plateforme et de ses applications.

Pour ce faire, différentes ressources proposées par AWS doivent être mises en oeuvre selon les besoins et contraintes de chacun. 

DÉCOUVREZ 7 CLÉS PRINCIPALES À ACTIVER POUR BOOSTER LA SÉCURITÉ DE VOTRE CLOUD AWS.

#1 METTRE EN OEUVRE DES POLITIQUES  DE SÉCURITÉ SUR TOUT LE PÉRIMÈTRE

Le premier principe pour assurer une plus grande sécurité est le périmètre d’action : il est primordial de sécuriser l’environnement de toutes les couches et de s’assurer que cela est le cas en profondeur avec différents contrôles de sécurité (par exemple, réseau de périphérie, VPC, sous-réseau, équilibreur de charge, chaque instance, système d’exploitation et applications). L’erreur la plus commune serait de se concentrer exclusivement sur la couche la plus externe. 

Tous les services AWS implémentent des mécanismes de sécurité qui leurs sont propres, en s’appuyant sur une structure et des outils communs (Policies IAM notamment).

La création de ces architectures sécurisées, notamment l’implémentation de la sécurité, peut et doit être gérée en tant que code dans des modèles versionnés et contrôlés. Ceci permet de garantir la traçabilité des changements et faciliter les éventuels retours arrières (rollbacks). 

#2 AUTOMATISER LES AUDITS DE SÉCURITÉ

Il est important d’auditer régulièrement la conformité des configurations de vos ressources AWS. Cela permet de surveiller et de contrôler les paramètres qui sont sous votre responsabilité (cf introduction). Il faut donc vérifier que vous disposez des bonnes configurations des services et applications par rapport à vos souhaits et à vos directives internes de conformité. 

sécurité informatique données confidentielles protection des données confidentielles mots de passe

Compte tenu du nombre important d’états et de paramètres à contrôler, il est fortement recommandé d’automatiser la vérification de la conformité avec les “bonnes pratiques” de sécurité : ces audits de sécurité automatisés améliorent votre capacité à évoluer en toute sécurité, plus rapidement et à moindre coût. Vous êtes alors en mesure d’identifier l’origine de la faille de sécurité et de la corriger rapidement. 

Préparez-vous aux incidents et brèches de sécurité: par exemple en ayant un processus de gestion des incidents avec différents scénarios selon leur criticité correspondant aux exigences de votre organisation. Exécutez des simulations de réponse aux incidents et utilisez des outils pour augmenter votre vitesse de détection, d’investigation et de récupération.

En complément, l’outil AWS Config permet d’enregistrer et d’évaluer les configurations de vos ressources et leurs évolutions. Il est également possible de mettre en place une surveillance continue et une évaluation automatique. Ce service apporte un historique des modifications, une analyse de la sécurité ainsi qu’un diagnostic des défaillances opérationnelles.

#3 RESTREINDRE LES ACCÈS

L’erreur est humaine et, par conséquent, il est recommandé de limiter au maximum les accès aux données. Créez des mécanismes et des outils pour réduire ou éliminer le besoin d’un accès direct ou d’un traitement manuel des données. Cela réduit considérablement les risques de perte ou de modification et d’erreur humaine lors du traitement de données sensibles.

Selon les utilisations, il est pertinent que votre entreprise mette en service différents comptes AWS, ou différents Virtual Private Cloud pour cloisonner les données. Ce cloisonnement permet de définir de nouvelles configurations, telles que des options de connectivité différentes selon les sections concernées. De plus, cette segmentation permet de mettre en place des niveaux de sécurité variés selon la confidentialité et la sensibilité des données impliquées.

Chaque Virtual Private Cloud (VPC) peut être configuré selon vos souhaits : incluant des subnets public ou privé, avec ou sans accès à internet, avec une détermination des couches de sécurité, … 

Ces VPC peuvent être facilement reliés de façon robuste et sécurisée avec les réseaux ou datacenter on premise.

L’utilisation de multiples comptes AWS est également un moyen d’améliorer la sécurité, en donnant des droits particuliers aux administrateurs dans chacun des comptes, et en faisant par exemple en sorte que les traces (cf paragraphe #6) ne puissent être accédés et surtout purgées que par un nombre très restreint de personnes.

#4 GÉRER LES IDENTITÉS D’ACCÈS AU CLOUD ET AUX APPLICATIONS

sécurité du système dsi pare-feu protéger les données sensibles data center

AWS permet de mettre en place des règles strictes et robustes concernant la gestion des identités :

  • Appliquez le principe de droits minimum et suffisants,
  • Imposez la séparation de la réalisation des tâches avec l’autorisation appropriée pour chaque interaction avec vos ressources AWS, 
  • Centralisez la gestion des autorisations,
  • Réduisez et, si possible, éliminez la dépendance vis-à-vis des informations d’identification à long terme.

Lors du déploiement d’une architecture sur AWS, votre entreprise doit chercher à optimiser la sécurité des données en contrôlant ses accès. En effet, des droits différents sont à établir selon plusieurs catégories d’utilisateurs. Tous n’ayant pas les mêmes besoins, ils ne doivent pas avoir les mêmes accès à l’infrastructure. 

Les fonctionnalités d’AWS Identity and Access Management (IAM) permettent de restreindre les accès pour différents groupes. Certaines personnes ont uniquement besoin d’autorisations de lecture. D’autres doivent pouvoir déployer des machines virtuelles ou d’accéder à des fonctionnalités avancées. Les applications ont également besoin d’avoir des droits pour accéder aux données.  IAM permet également de déléguer l’authentification à un annuaire d’entreprise de façon à consolider la gestion des autorisations, et limiter mécaniquement les risques d’inconsistance et d’erreur.

Par ailleurs, AWS Cognito permet de gérer de façon industrielle les utilisateurs des applications mobiles. Et AWS propose aussi une implémentation managée des annuaires standards de l’industrie.

Avec une migration vers le cloud AWS, il est possible d’octroyer des identités selon chaque utilisateur ou application afin de maintenir un niveau de sécurité maximal.

#5 CHIFFRER LES DONNÉES ET MAÎTRISER LES CLÉS DE CHIFFREMENT

audit de sécurité informatique logiciels malveillants sécuriser les entreprises

Il est indispensable de protéger les données en transit et au repos : après avoir classé vos données en fonction de leur confidentialité, il est nécessaire de mettre en oeuvre les mécanismes tels que le chiffrement, la tokenisation et le contrôle d’accès, le cas échéant.

Pour optimiser la sécurité des données du cloud AWS, il est impératif de mettre en place une gestion des clés en conformité avec les besoins ou la réglementation. Les bonnes pratiques intègrent notamment la détermination de la rotation des clés, la restriction des utilisateurs y ayant accès et une veille de leur utilisation.

Le service AWS Key Management Service (KMS) permet de créer et de gérer les clés. Il est totalement géré, vous permettant de vous attacher au chiffrement de vos données stockées. Vous pouvez facilement en faire une rotation automatique, les importer depuis votre propre infrastructure, déterminer les conditions d’utilisation ou encore suivre leur activité. Les clés ne peuvent en aucun cas être récupérées en texte simple pour en garantir la totale sécurité. Elles peuvent être désactivées provisoirement ou supprimées selon les besoins.

Par la suite, ces clés permettent de chiffrer les données de 52 services AWS, parmi lesquels nous retrouvons évidemment les données des serveurs et des bases de données managées.

#6 TRACER L’ACTIVITÉ SUR LE CLOUD

confidentialité des données failles potentielles hacking expertise en sécurité

Activez la traçabilité : surveillez, alertez et auditez les actions et les modifications apportées à votre environnement en temps réel. Intégrez les métriques aux systèmes pour répondre et prendre des mesures automatiquement.

Pour protéger votre cloud AWS, il est important d’établir un suivi de l’activité des utilisateurs et de l’usage des applications. La gestion des risques ainsi que les garanties de conformité sont des missions centrales pour l’ensemble de votre réseau. Il est nécessaire de pouvoir détecter les menaces sur la sécurité de votre infrastructure en identifiant les vulnérabilités.

AWS CloudTrail est le service de suivi en continu des actions réalisées sur votre infrastructure. Il présente un historique des événements de votre compte AWS, ce qui va simplifier les audits de conformité. L’ensemble de l’activité est enregistré permettant d’identifier les problèmes dans l’historique des modifications. Avec Amazon CloudWatch Events, la détection des fragilités est facilitée avec l’aide de workflows.

#7 DÉTECTER LES MENACES & SÉCURITÉ DES APPLICATIONS

La détection des menaces est une démarche de prévention permettant de réagir rapidement à des actions hostiles externes, et de mettre en place des contre-mesures rendant des actions inopérantes.

Cette détection doit couvrir le périmètre technique et aussi les applications qui sont également concernées par l’exposition de failles.

AWS propose 5 services permettant de mettre en place des mécanismes de prévention, dont le point commun est de nécessiter un temps de mise en oeuvre extrêmement réduit. Ceci a été rendu possible notamment par la mise en place de l’algorithme de machine learning couplé avec un flux de veille pour identifier les signatures d’attaques infrastructure (AWS GuardDuty) ou applicatives (AWS Inspector), ou pour l’identification des objets contenant des données soumises à une réglementation particulière (AWS Macie). En complément, AWS WAF permet de restreindre les accès aux applications en appliquant un filtrage qui leur sont spécifique et AWS Shield protège des attaques DDOS.

FAITES VOUS ACCOMPAGNER PAR DES EXPERTS AWS !

La sécurité est un sujet complexe et ne doit pas être pris à la légère, il est souvent nécessaire de se faire accompagner par des structures dont cela est le métier et le domaine d’expertise. 

Avec ces 7 conseils décisifs, vous êtes en mesure d’améliorer efficacement la sécurité des données de votre cloud AWS. N’omettez pas, cependant, d’inscrire ces activités dans une pratique et une mise à jour régulière de long terme pour capitaliser pleinement sur tous leurs bénéfices. 

Est-ce que le Cloud est sécurisé ?

Si vous avez déployé votre infrastructure sur un cloud public (AWS, Google Cloud, Azure, etc.), le principe de la responsabilité partagée s’applique dans la mise en oeuvre de cette sécurité. En clair : le cloud provider est responsable de la sécurité du cloud. En tant qu’utilisateur, vous êtes responsable du traitement des données, de votre sécurité et de votre conformité sur cet espace.

Comment sécuriser les données informatiques ?

Les bonnes pratiques :
#1 Mettre en oeuvre des politiques de sécurité sur tout le périmètre
#2 Automatiser les audits
#3 Restreindre les accès
#4 Gérer les identités d’accès au cloud et aux applications
#5 Chiffrer les données et maîtriser les clés de chiffrement
#6 Tracer l’activité sur le cloud
#7 Détecter les menaces & sécurité des applications