De plus en plus de grandes entreprises misent sur les outils collaboratifs dans le Cloud, se posent la question de la confidentialité des documents « sensibles ». Atos cherche à faire cohabiter les fonctions collaboratives de G Suite aux exigences de confidentialité des grandes entreprises. Jean-Baptiste Voron, Manager & Consultant Senior en Sécurité des SI chez Atos, explique à Solutions Numériques sur le FIC les enjeux de ce projet.
Pour beaucoup d’échanges entre collaborateurs au quotidien, la sécurité apportée par les fournisseurs de services Cloud semble satisfaisante, mais qu’en est-il des documents confidentiels, qu’il s’agisse de réponses à des appels d’offres internationaux, des documents de travail sur les fusions/acquisitions en cours ou encore des données d’ingénierie qui intéresseraient sans doute beaucoup les services de renseignements étrangers ?
La problématique est d’autant plus d’actualité que de nombreux acteurs du CAC40 ont migré vers Office 365 de Microsoft ou G Suite de Google. Veolia, qui a fait le choix de la solution G Suite dans le cadre de sa stratégie “Zero Datacenter” a demandé à Atos de protéger les 5 % de documents sensibles que les collaborateurs de l’entreprise sont amenés à échanger sur la plateforme G Suite.
Jean-Baptiste Voron, Manager & Consultant Senior en Sécurité des SI chez Atos, commente à Solutions Numériques : « Les services Cloud d’acteurs tels que Google, Amazon Web Services, Microsoft Azure présentent un niveau de sécurité tout à fait correct, que ce soit pour leurs datacenters ou leurs services managés. Ce qui pose problème, c’est l’usage de ces ressources qui peuvent amener à des vulnérabilités ou des failles de sécurité. Nous avons réfléchi à la façon dont cadrer les usages et éviter les situations où les utilisateurs vont partager des documents à outrance, être sûr de bien connaître les utilisateurs qui accèdent véritablement au service, et avoir une traçabilité complète de qui fait quoi dans le Cloud. »
Un “Data Sanctuary” se greffe directement sur Google G Suite
Atos s’est donc attaché à greffer ce que les spécialistes appellent “une surcouche de sécurité” au-dessus de G Suite afin de délivrer des services de sécurité additionnels, en cherchant à en minimiser les impacts ergonomiques. L’expert ajoute : « Veolia voulait être capable de maîtriser les identités ayant accès à ces documents confidentiels, d’autre part maîtriser cette donnée et avoir une traçabilité des accès à ces documents. » Pour assurer ces 3 fonctions liées à l’identité, l’accès et l’activité, sans contraindre les utilisateurs concernés à devoir utiliser une autre plateforme que G Suite, y compris le travail collaboratif sur un document donné, les ingénieurs d’Atos ont dû imaginer un “Data Sanctuary” venant se greffer directement sur Google G Suite via ses API mais en devant tenir compte des limitations de celles-ci. Ainsi le chiffrement At-Rest (au repos) des documents G Doc n’étant pas possible dans le Google Drive des utilisateurs. Les ingénieurs exploitent ainsi l’interfaçage avec Box afin de sécuriser les documents qui doivent être chiffrés avec des clés distribuées par le HSM (Hardware Security Module) opéré par Atos. L’intégration Box/G Suite permettant une édition des documents stockés dans Box sans complication pour les utilisateurs.
De même, la gestion des identités est assurée par la solution Evidian du Français qui provisionne les identités sur les différents services de la plateforme collaborative Veolia et effectue une recertification en permanence de toutes les identités déclarées sur G Suite et Box. Enfin, la gestion des activités est assurée par le SOC qui capture les actions réalisées par les utilisateurs sur la plateforme de collaboration. La traçabilité des actions inclut celles des employés d’Atos amené à administrer la plateforme. Ainsi, Veolia garde le contrôle de tout ce qui survient dans son sanctuaire de données suivant le vieil adage, on ne peut plus vrai dans la cybersécurité, qui dit que la confiance n’exclut pas le contrôle.
Auteur : Alain Clapaud