La sécurité chez Moneway

#1

La sécurité interne et externe de Moneway est au coeur de nos priorités. Il nous semble important de vous expliquer comment nous sécurisons nos systèmes à Moneway, et comment nous souhaitons faire de nos collaborateurs les maillons forts des systèmes d’information de Moneway. La plupart des points énoncés sont aussi des points que vous pouvez utiliser pour protéger vos propres données. :wink:

La protection des appareils :iphone::computer:

Les applications et logiciels que nous utilisons (GSuite, SendGrid, TablePlus…) nécessitent un mot de passe comme moyen de sécurité. Puisque nous sommes plusieurs à utiliser les mêmes outils, il nous fallait un mot de passe commun à tous les membres de l’équipe, mais qui diffère aussi pour chacun de ces outils. Pour des raisons de sécurité évidentes, nous ne pouvons pas nous communiquer ces mots de passe par message ou les écrire sur un post-it pour s’en rappeler. Mais alors, comment générer des mots de passe forts et efficaces, sans faille et sans complication pour l’environnement de travail ? Eh bien, nous avons opté pour un gestionnaire de mots de passe, du nom de 1Password. Cette application nous permet de favoriser la création de mots de passe complexes, complètement aléatoires et uniques. Ce gestionnaire nous permet de partager de manière sécurisée des mots de passe entre nous, et il n’y a plus qu’un seul mot de passe à retenir, celui de son compte 1Password, chaque membre de l’équipe en ayant un propre à lui.

Les mots de passe ne sont qu’une première barrière de protection. En effet, il faut aussi faire attention aux périphériques inconnus : clés USB, CDs, disques durs trouvés par terre ou provenant d’une autre source inconnue car ils peuvent contenir des virus (comme l’explique cet article) !

De plus, le chiffrement des disques durs ou SSD est aussi une étape incontournable, quelque soit le système d’exploitation. Voici une liste d’outils qui peuvent être utiles au chiffrement :

La protection des ressources Moneway

Une règle élémentaire et importante concerne la divulgation d’informations sensibles. Les “Personally Identifiable Information” (ou données personnelles en français) telles qu’un numéro de carte bancaire, ne doivent en aucun cas être partagées sur des réseaux non sécurisés ou non chiffrés de bout en bout (sites sans HTTPS, Messenger, Slack, etc), et cela est tout aussi valable pour les mots de passe.

Afin de limiter les risques, le principe de moindre privilège doit toujours être appliqué.Tous les membres de l’équipe Moneway n’ont pas les mêmes autorisations. Par exemple, l’équipe Communication a accès aux réseaux sociaux ou à SendGrid, mais pas aux espaces réservés aux développeurs car cela n’est pas nécessaire à la bonne exécution de sa mission. Pour ce faire, nous délivrons à chaque collaborateur uniquement les privilèges dont il a besoin pour effectuer ses tâches. Si un collaborateur change de tâche, de position ou quitte l’entreprise, il subira un audit de ses accès afin d’y ajouter ou d’y enlever des privilèges. Ainsi, la sécurité interne de Moneway n’est pas mise en péril. :muscle:

La protection des ressources passe aussi par des règles concernant la destruction de celles-ci : les documents papier sont détruits par un broyeur, et les appareils sont nettoyés avant d’aller en réparation ou avant recyclage. Le “nettoyage” des appareils signifie que les données présentes sur un disque (HDD ou SSD) doivent être supprimées.

La protection des réseaux Moneway

Une fois que les applications et appareils sont protégés, il reste un canal à sécuriser : les réseaux Moneway. Chaque réseau interne possède une configuration durcie pour se parer à d’éventuelles attaques locales ou extérieures telles que les DDoS (Attaque par déni de service), les bruteforce (Attaque par force brute) ou les MITM (man in the middle), et le réseau invité doit être séparé du réseau principal de Moneway. Cela signifie qu’une personne extérieure à Moneway ne pourra se connecter qu’au réseau invité et non au réseau interne des employés.

Nous sommes dans l’optique de sécuriser Moneway autant d’un point de vue interne qu’externe. L’objectif de ces différentes démarches est de sécuriser les outils utilisés pour veiller au bon fonctionnement et développement de Moneway, mais également à la sécurité des données de nos utilisateurs. :lock::ok_hand:

1 Like