En tant qu’expert en plateforme cloud IoT depuis plus de 15 ans, la sécurité des données est un sujet central de la politique Overkiz qui mobilise chaque jour une équipe de spécialistes dédiée. Rencontre avec Eric Drier de Laforte, Responsable de la Sécurité…
De quoi parle-t-on quand on parle de « sécurité de l’information » ?
Overkiz traite des millions de données clients pour permettre le suivi et l’exploitation des équipements connectés sur sa plateforme cloud. 4 principes nous régissent conformément à la norme ISO 27001 à laquelle nous répondons.
- Confidentialité : seules les personnes habilitées ont accès aux informations.
- Intégrité de l’information : elle doit rester exacte et complète, les données sont stockées de manière fiable et ne sont ni effacées ni endommagées.
- Disponibilité des données : l’information doit rester accessible et utilisable à la demande par les personnes autorisées.
- Traçabilité
Les notions étant particulièrement larges, nous avons mis en place une politique de gestion des risques qui nous est propre.
Quelles sont les garanties apportées par Overkiz en termes d’hébergement ?
Overkiz a la main complète sur ses serveurs, qu’elle administre de bout-en-bout. Pour cela, nous disposons d’une équipe de 13 personnes dédiées à 100% à la gestion de l’infrastructure. Nos serveurs sont localisés en fonction des implantations de nos clients. En France exclusivement pour nos clients d’Europe, Afrique du Nord et Moyen-Orient. Au Québec, pour ceux d’Amérique du Nord et à Singapour pour notre clientèle de l’Asie -Pacifique.
Quelles sont vos mesures pour la protection des données ?
Nous collectons, traitons et protégeons principalement 2 types de données : celles liées à l’usage des équipements connectés des bâtiments tertiaires et résidentiels et celles du compte-profil de l’utilisateur. Pour sécuriser les accès à nos services, nous utilisons le protocole d’autorisation OAUTH 2.0. Et pour protéger les datas circulant entre les équipements, les applications et notre cloud, le chiffrement TLS 1.2 par certificat SSL. En tant qu’autorité de certification, nous gérons nos propres certificats SSL, ce qui permet à nos clients de les implémenter directement dans les box ou produits.
Qui a accès à ces données ?
Les données collectées sont la propriété exclusive de nos clients. Overkiz ne les utilise jamais pour son propre compte, ni ne les revend à des tiers. Et naturellement, nous nous conformons strictement à la règlementation européenne RGPD et travaillons d’arrache-pied pour répondre aux évolutions continues des politiques de sécurité dans tous les pays couverts.
Cybersécurité et continuité de service sont liées. Quelles sont les procédures mises en place pour faire face aux incidents ou coupures de connexion ?
Grâce à la surveillance et au traitement continus des CVE (Commons Vulnerabilities and Exposures) ainsi qu’un processus d’astreinte en dehors des heures et jours ouvrés, Overkiz garantit une disponibilité de 99,9% des plateformes de production. Des sondes monitorent les machines et envoient des alertes qui sont catégorisées : celles concernant un arrêt critique de service sont prises en charge dans les 40 minutes.
Indépendamment de toute connexion au cloud Overkiz, les équipements restent toujours pilotables en local. En cas de déconnexion du réseau internet ou du cloud Overkiz, les box continuent à exécuter les scénarios préalablement enregistrés.
LES CONCEPTS À MAÎTRISER
Solution Cloud
En choisissant une solution Cloud, le client externalise et confie à des experts l’hébergement de la solution, sa maintenance et la responsabilité de la sécurité des données stockées.
Politique de gestion des risques
Elle est propre à chaque organisation et se décline en 3 temps.
Phase 1 : identification des actifs, leur criticité et les risques associés
Phase 2 : pondération des items (réduction, acceptation, évitement, transfert)
Phase 3 : élaboration du plan d’action (Plan – Do – Check – Act)
ISO 27001
Système de management de la sécurité de l’information (SMSI) : modèle international d’organisation et de moyens à mettre en œuvre pour répondre aux enjeux de cybersécurité. Overkiz est certifiée ISO 27001 dans le cadre du développement et de la fourniture d’infrastructures de services « BtoB ».
Chiffrement (TLS)
Il consiste à brouiller le message original afin qu’il ne puisse être déchiffré que par le destinataire prévu. Et garantit la confidentialité des données échangées par le biais d’une clé cryptographique.
Certificat SSL
Carte d’identité numérique officielle d’une entreprise permettant de chiffrer et sécuriser les échanges. Overkiz est aussi autorité de certification.
Vulnérabilité
Notée de 1 à 10 selon le « Common Vulnerability Scoring System » (CVSS). Plus le chiffre est élevé, plus la faille est considérée comme grave.
Commentaires (0)