MIEUX SÉCURISER LES APPLICATIONS DE GESTION DES TEMPS ET DES PLANNINGS

04 mars2021

Que ce soit en période normale ou en situation de crise sanitaire, une application de GTA doit rester disponible et être la plus résistante possible. Comment Horoquartz aborde-t-elle ce sujet pour apporter un bon niveau de sécurité à ses solutions ? Un entretien avec Julien Soudée, RSSI d’Horoquartz.

Julien, nous avons vu dans une précédente interview que les attaques informatiques étaient de plus en plus fréquentes. Vous avez donné quelques conseils à nos clients afin de les aider à lutter contre la cybercriminalité. Quelles sont les mesures prises par Horoquartz pour assurer la sécurité de ses applications de gestion des temps ?

« Horoquartz a pris conscience assez tôt des enjeux de sécurité et réalise des tests de sécurité sur son application de GTA eTemptation depuis plus de 5 ans. Afin d’accentuer ce travail de sécurisation, Horoquartz a créé il y a quelques années un poste de responsable de la sécurité (RSSI), ce qui n’est pas fréquent chez les éditeurs de notre taille ou dans nos métiers. Ce poste comporte à la fois un volet interne pour sécuriser nos propres infrastructures informatiques et un volet externe qui vise à apporter le meilleur niveau de sécurité possible pour les infrastructures et les logiciels que nous proposons à nos clients. »

Comment cela se décline-t-il ?

« Sur le volet sécurité interne, nous travaillons à la fois sur des mesures techniques et des mesures plus organisationnelles. Ainsi, l’évangélisation des équipes Horoquartz est un sujet central dans cette mission. C’est vrai pour nos consultants qui interviennent chez les clients et doivent être en mesure de conseiller nos utilisateurs pour paramétrer au mieux nos solutions sur le plan de la sécurité mais également du RGPD. C’est aussi vrai pour nos équipes R&D qui doivent prendre en compte les objectifs de sécurité dès les phases de conception et de développement des logiciels.

C’est pour cette raison que nous formons et sensibilisons en permanence nos collaborateurs sur la sécurité informatique, tout particulièrement sur les bonnes pratiques et les risques courants mais également sur les aspects plus précis comme la cryptographie, par exemple. Concernant les mesures techniques, il s’agit globalement d’avoir une bonne hygiène informatique des infrastructures internes et externes. »

Par infrastructures externes, je suppose que vous parlez de vos solutions sur le Cloud ?

« Oui, nous travaillons avec 2 hébergeurs dans le cloud, Claranet et Microsoft Azure. Il y a plusieurs raisons qui nous ont amené à choisir ces plateformes notamment leur flexibilité, leur performance, mais également le niveau de sécurité proposé. Cela a été un point décisif dans notre choix, nous ne souhaitions travailler qu’avec des acteurs disposant de certifications de sécurité comme l’ISO 27001 par exemple et capable de démontrer les meilleures pratiques en matière de sécurité IT. » 

 

Quels efforts en particulier faites-vous pour vos solutions ?

« En dehors de la formation de nos équipes R&D, j’ai évoqué les tests de sécurité réalisés depuis quelques années. Ces audits techniques sont réalisés à la fois par des sociétés spécialisées et des outils internes afin de nous assurer que nos développements respectent les bonnes pratiques en matière de sécurité dans les développements (comme le respect des recommandations de l’OWASP). Par ailleurs, nous portons une attention toute particulière aux composants externes que nous intégrons et à leur maintenabilité dans le temps, les attaques de type « supply chain » étant malheureusement à la mode.

Enfin, nos logiciels gèrent les protocoles sécurisés (comme HTTPS, FTPs/sFTP, …), indépendamment du mode de déploiement en cloud ou On premises. C’est également vrai pour nos badgeuses. Nous livrons l’application avec une configuration sécurisée et nous conseillons vivement à nos clients de s’appuyer sur des annuaires d’entreprise et d’utiliser le SSO. Quand cela n’est pas possible, nous pouvons mettre en œuvre des règles permettant de sécuriser les connexions des utilisateurs. »

Est-ce que vous sentez une plus grande sensibilité de vos clients sur ce sujet ?

« C’est manifeste. Les grandes entreprises étaient déjà largement sensibilisées. Les PME prennent de plus en plus conscience de leur vulnérabilité et désormais, si elles estiment qu’elles ne peuvent pas en interne garantir une sécurité suffisante pour leur application de GTA, elles optent sans hésiter pour nos solutions sur le cloud. »

Thierry Bobineau, Directeur Marketing chez Horoquartz d’après une interview de Julien Soudée, RSSI chez Horoquartz