La sécurité interne de Moneway

20 juillet 2018Moneway5 min de lecture

La sécurité interne de Moneway

La sécurité interne et externe de Moneway est au coeur de nos priorités. Maintenant que vous connaissez les principes de l’authentification sans mot de passe, il nous semblait important de vous expliquer comment nous sécurisons nos systèmes à Moneway, et comment nous souhaitons faire de nos collaborateurs les maillons forts des systèmes d’information de Moneway. La plupart des points énoncés sont aussi des points que vous pouvez utiliser pour protéger vos propres données. 😊

La protection des appareils 📱💻

Si nous avons choisi de supprimer le mot de passe dans le processus de connexion de nos utilisateurs, les mots de passe sont bien présents dans les applications (comme GSuite, SendGrid…) que nous utilisons. Il a donc été décidé d’utiliser un gestionnaire de mots de passe, 1Password, afin de favoriser la création de mots de passe forts, c’est-à-dire les plus longs et aléatoires possibles, et surtout uniques d’un site à l’autre. Le gestionnaire de mots de passe facilite cette procédure puisqu’il n’y a plus qu’un mot de passe à retenir, celui du gestionnaire.

Chaque appareil (par exemple, nos ordinateurs ou téléphones) contenant des informations relatives à Moneway doit être protégé par un mot de passe. Ces mêmes appareils doivent également être verrouillés, même pour 30 secondes lors d’une pause café ☕️ : les vols et accidents arrivent très vite !

Les mots de passe ne sont qu’une première barrière de protection. En effet, il faut aussi faire attention aux périphériques inconnus : clés USB, CDs, disques durs trouvés par terre ou provenant d’une autre source inconnue car ils peuvent contenir des virus (comme présenté dans cet article) !

Le chiffrement des disques durs ou SSD est aussi une étape incontournable, quelque soit l’OS (Operating System). Voici une liste d’outils qui peuvent être utiles au chiffrement :

La protection des ressources Moneway

Une règle élémentaire mais importante concerne la divulgation d’informations sensibles. Les “Personally Identifiable Information” (ou données personnelles en français), comme un numéro de carte bancaire, ne doivent en aucun cas être partagées sur des réseaux non sécurisés ou non chiffrés de bout en bout (sites sans HTTPS, Messenger, Slack, etc), et cela est tout aussi valable pour les mots de passe.

Afin de limiter les risques, le principe de moindre privilège doit toujours être appliqué. Cela veut dire que chaque tâche ne doit bénéficier uniquement que des privilèges nécessaires à son exécution. Cela amène au point suivant, tous les accès sont répertoriés : nous savons que l’équipe Marketing a accès aux réseaux sociaux et à Sendgrid, mais cette même équipe n’a pas accès aux serveurs Moneway. De même, un collaborateur qui change de tâche, de position ou quitte l’entreprise, subira un audit de ses accès afin d’y ajouter ou enlever des privilèges.

La protection des ressources passe aussi par des règles concernant la destruction de ces mêmes ressources : les documents papier sont détruits par un broyeur, et les appareils sont nettoyés avant d’aller en réparation ou avant recyclage. Le “nettoyage” des appareils signifie que les données présentes sur un disque (HDD ou SSD) doivent être supprimées.

La protection des réseaux Moneway

Une fois que les applications et appareils sont protégés, il reste un canal à sécuriser : les réseaux Moneway. Chaque réseau interne possède une configuration durcie pour se parer à d’éventuelles attaques locales ou extérieures telles que les DDoS (Attaque par déni de service) ou les bruteforce (Attaque par force brute), et le réseau invité doit être séparé du réseau principal de Moneway. Cela signifie qu’une personne extérieure à Moneway ne pourra se connecter qu’au réseau invité et non au réseau interne des employés.

Toutes ces règles ne sont qu’un début, nous avons déjà pensé à la suite : utilisation de YubiKeys ou encore d’OKTA, utilisation du SSO/SAML étendue à toutes les applications que nous utilisons…

Nous sommes dans l’optique de sécuriser Moneway autant d’un point de vue interne que d’un point de vue externe. L’objectif de ces différentes démarches est de sécuriser les outils utilisés pour veiller au bon fonctionnement et développement de Moneway mais également à la sécurité des données de nos utilisateurs.

Qu’en pensez-vous ?

Partager sur :

Guillaume Fillon

Guillaume Fillon

CTO