Comment la Brinks met sa sécurité informatique à l'épreuve
Technologies, gouvernance, benchmarking, compétences SI, externalisation, cloud, mobilité, réseaux sociaux, big data. Pour répondre aux exigences de la loi Sarbanes-Oxley, la filiale française du convoyeur de fonds a automatisé l'audit de sa sécurité informatique. Et en a profité pour étendre sa gamme de services.
Transporter plus de 130 milliards d'euros par an oblige à une chose : ne pas transiger avec la sécurité. Ni avec les autorités. A ce sujet, la loi américaine Sarbanes-Oxley (SOX) exige une transparence absolue. Voilà pourquoi, la maison mère de la Brinks met très régulièrement à l'épreuve, depuis les Etats-Unis, la conformité de ses filiales. Et ce, à titre préventif.Anticiper les éventuels problèmes est d'autant plus crucial que “ lorsqu'une vulnérabilité nous est remontée, nous entrons dans une série interminable d'allers-retours avec le siège, surtout si nous ne pouvons pas la corriger dans les délais imposés ”, raconte Vincent Lauriat, DSI de Brinks France. Or, avec un parc applicatif composé d'une centaine de produits, il lui est difficile de s'assurer manuellement qu'il est à niveau.Vincent Lauriat a donc choisi de faire appel à l'éditeur Qualys pour industrialiser ses audits de sécurité. Désormais, le DSI n'est plus pris de cours par les diffusions de correctifs. Il n'a plus qu'à éditer et envoyer son rapport au siège et aux auditeurs SOX pour attester de sa conformité. Un véritable soulagement pour lui, qui ne s'est pourtant pas arrêté en si bon chemin, bien décidé à rentabiliser son investissement.Fiabilité garantie. Ainsi, Vincent Lauriat a étendu le potentiel de l'application de Qualys à l'ensemble du système d'information ainsi qu'aux communications avec des prestataires ou des clients externes. La Brinks échange en effet quotidiennement un grand nombre d'informations avec ces derniers, via une passerelle de connexion sécurisée. Certaines de ces données sont particulièrement sensibles, comme les trajets des transporteurs de fonds. Même si, dans ce cas précis, les informations sont communiquées à la dernière minute, le niveau de sécurité de la liaison doit être fiable à 100 % et donc testé régulièrement. Une interception de la transmission est inacceptable.De plus, la Brinks a, depuis quelques années, fait évoluer son offre en proposant à ses clients de déposer leur argent dans un coffre installé chez eux. A chaque dépôt, le montant est transmis informatiquement à la Brinks, qui crédite le compte de son client. Le transporteur venant récupérer le contenu du coffre à sa convenance. Là encore, il faut protéger le lien au sein d'un réseau privé virtuel (VPN), afin que personne ne puisse écouter la communication. “ Le logiciel me garantit également qu'un pirate ne peut pas usurper le compte du propriétaire d'un coffre pour accéder à notre système d'information ”, ajoute Vincent Lauriat. Auparavant, le DSI devait faire appel, pour ce genre d'opérations, à des sociétés de services spécialisées dans les tests d'intrusions. A présent, il élabore lui-même ses scénarios.Vigilance totale. Vincent Lauriat soumet à vérification tout ce qu'il relie au système d'information : “ Récemment, nous avons branché un serveur que nous utilisions pour des tests. La solution de Qualys m'a immédiatement signalé qu'un port réseau était resté ouvert. Une négligence fâcheuse qui aurait pu causer l'ouverture d'un trou béant de sécurité dans le système d'information. ”Enfin, le DSI pousse la démarche jusqu'à auditer ses fournisseurs. Orange, Stonesoft et Cegid ont ainsi été épinglés par le transporteur, faute d'avoir mis à jour leurs produits dans les temps. A la Brinks, on ne blinde pas que les fourgons.