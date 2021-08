Les plateformes d’intégration relèvent le défi de la cybersécurité

août 2021 par Bruno Labidoire, Southwest Europe Presales Manager chez Boomi

Les plateformes d’intégration sont devenues une pièce névralgique des systèmes d’informations. La moindre défaillance peut engendrer de graves conséquences. Éviter la paralysie de l’entreprise et protéger les données en toutes circonstances supposent de sécuriser la plateforme d’intégration et de chiffrer les données pour les rendre inexploitables en cas de vol.

L’intégration applicative, pierre angulaire des systèmes d’informations modernes

Les attaques d’envergure comme WannaCry, NotPetya et dernièrement Colonial Pipeline ont fait date pour les entreprises. On se souvient également du vaste piratage des informations financières de 145 millions de clients de l’agence de crédit américaine Equifax en 2017. La transformation numérique a étendu la surface d’attaque possible envers les entreprises, les cybercriminels exploitent la moindre faille pour perturber leurs activités, dérober des données ou exiger des rançons. De nos jours le fonctionnement d’une entreprise repose sur un assemblage complexe d’applications qui communiquent entre elles grâce à des processus d’intégration. Toute menace sur la plateforme d’intégration elle-même, devenue une pièce maitresse des systèmes d’information (SI) modernes, ou sur les données qu’elle pilote, peut avoir des conséquences dommageables. L’intégration assure, souvent en temps réel, les échanges de données nécessaires à une collaboration harmonieuse des applications. Étant donné le rôle central de ces plateformes d’intégration, une attention toute particulière doit être portée à leur sécurisation et aux fonctions qu’elles mettent en œuvre pour garantir la confidentialité et l’intégrité des données.

Sécuriser les plateformes d’intégration en s’appuyant sur les services cloud

Face à la multiplication des applications, à la part grandissante du mode SaaS, les solutions d’intégration prennent progressivement l’aspect de plateformes de services d’intégration dans le cloud (iPaaS) simples à déployer, intuitives à l’utilisation et particulièrement adaptées aux environnements hybrides. L’hébergement de ces plateformes par de grands opérateurs de cloud est un atout considérable pour les sécuriser. Peu d’entreprises ont les moyens de sécuriser leurs infrastructures informatiques comme le font les grands fournisseurs de cloud qui disposent généralement d’un SOC (Security Operations Centers) pour gérer et surveiller toutes les activités de leurs datacenters. Le choix du fournisseur de cloud est par ailleurs déterminant pour garantir une forte disponibilité en répartissant les infrastructures informatiques dans différentes zones géographiques et pour proposer la localisation des données en France ou en Europe en réponse aux besoins de conformité réglementaire. C’est sur ce socle de sécurité robuste que le fournisseur de plateforme d’intégration va ensuite réaliser une isolation sécurisée des données utilisateurs pour garantir qu’elles restent confidentielles et uniquement accessibles aux personnes autorisées. Mieux, désormais les plateformes d’intégration ajoutent leurs propres outils de détection des menaces ou encore de protection contre les malwares et les attaques par déni de service (DDoS) pour parer à toutes formes de cyberattaques.

Sécuriser avec du chiffrement l’échange de données entre applications La pandémie nous a prouvé qu’aucun organisme n’était à l’abri de vol de données. Des hackers n’ont pas hésité à cibler les organismes qui travaillaient à la recherche de traitements et de vaccins contre la Covid-19. La protection des données est un enjeu essentiel de l’intégration. Les applications et leurs données sont désormais disséminées entre cloud public, centre de données de l’entreprise et sites de partenaires. Pendant leurs échanges, les données sont vulnérables et aucune protection n’est sûre à cent pour cent. Le chiffrement des données en transit représente l’ultime parade. En cas de fuite ou de vol, les données chiffrées sont inexploitables. Difficile cependant dans un contexte hybride de mettre en place une stratégie de chiffrement exhaustive. Certaines APIs (Interface de programmation d’application), prévues pour faciliter l’échange de données, disposent de moyens de chiffrement, mais d’autres non, et beaucoup d’entreprises fonctionnent encore avec des applications « maison », sans APIs. Face à ces disparités, les plateformes d’intégration proposent des méthodes de chiffrement et incluent la gestion des APIs pour contrôler l’accès aux données, assurer leur déploiement sécurisé et sont même capables de fournir des APIs lorsqu’elles font défaut. De même, une plateforme d’intégration est en mesure de chiffrer des données stockées (au repos) en mettant à disposition d’un groupe d’applications un référentiel commun (ou data hub) pour assurer le partage de données identiques.

Les nouvelles générations de plateformes d’intégration s’affirment ouvertement « cloud native » et participent à l’agilité des entreprises sans rien concéder à la sécurité. Les entreprises peuvent ainsi poursuivre sereinement l’urbanisation et l’industrialisation de leurs flux inter applicatifs et renforcer la gouvernance de leurs données.