• Accueil
  • Blog
  • 5 étapes pour créer un environnement d'automatisation cloud sécurisé et conforme
user-power_fr

Alors que les entreprises ont automatisé des processus routiniers pour réduire les coûts et atténuer les problèmes de ressources pendant la pandémie, elles ont également dû relever de nouveaux défis en matière de sécurité en raison du télétravail et de l'accessibilité des données sensibles à tout moment et en tout lieu.

Selon Gartner, « actuellement, 60 % des travailleurs du savoir télétravaillent et au moins 18 % ne retourneront pas au bureau ». Le télétravail peut s'accompagner d'une plus grande exposition et donc de cyberrisques accrus. Les cybercriminels sont agiles, rapides et persévérants. Ils sont toujours à la recherche de failles pouvant être exploitées pour accéder aux données sensibles des entreprises. Malheureusement, ils sont très efficaces.

« Plus de 80 % des entreprises américaines indiquent que leurs systèmes ont été piratés dans le but de voler, de modifier ou de divulguer des données importantes. [...] Plus de 85 % des entreprises d'Asie, d'Europe, d'Afrique et d'Amérique latine déclarent également avoir été piratées. » Et les conséquences peuvent être coûteuses. Une seule faille peut coûter à une entreprise des millions de dollars en efforts de correction et en perte d'activité et de réputation.

La migration de l'automatisation vers une architecture cloud-native permet une mise à l'échelle plus rapide, une plus grande disponibilité, une sécurité granulaire et des capacités d'innovation. Pour évoluer au rythme de l'entreprise, votre plateforme d'automatisation doit :

  • réduire les risques d'exposition et d'incidents de sécurité ;
  • mettre en place de solides politiques proactives d'atténuation des risques et de reprise après sinistre ;
  • respecter les principales normes du secteur ;
  • offrir une authentification et un contrôle d'accès forts et centralisés ainsi que des extensions par le biais d'intégrations.

Outre ces considérations relatives à la plateforme, voici 5 mesures à prendre pour sécuriser votre plateforme d'automatisation, votre cycle de développement et vos données.

ÉTAPE 1 : veiller à ce que l'authentification et l'accès soient définis et contrôlés

Pour commencer, vous devez vous assurer que toute personne qui accède à votre système est authentifiée. L'authentification à plusieurs niveaux et le contrôle d'accès ultra précis sont essentiels pour garantir que l'environnement est strictement contrôlé. Voici quelques bonnes pratiques à prendre en compte pour vous assurer que l'authentification et l'accès sont adaptés :

  • Créez des rôles distincts tels qu'administrateur RPA, créateur de robots, testeur de robots et opérateur RPA dans le cadre de l'architecture de base et des fonctions principales de la plateforme d'automatisation. Accordez aux utilisateurs un accès restreint basé sur des autorisations pour leur permettre d'exercer leur fonction d'assistance et de dépannage. Ce type de contrôle rend possibles la séparation des responsabilités et la définition de rôles très représentatifs, avec des contrôles d'accès ultra précis et suffisants pour répondre aux besoins des environnements les plus exigeants, notamment en matière de sécurité, et soumis à des réglementations de conformité très strictes.
  • Assurez-vous que votre plateforme d'automatisation offre un coffre d'informations d'identification intégré ou la possibilité d'y intégrer des coffres d'informations d'identification. Un coffre d'informations d'identification stocke toutes les informations d'identification du système et de l'utilisateur, ainsi que les informations d'identification requises par les automatisations au moment de l'exécution. Les créateurs de robots peuvent ainsi éviter cette pratique contraire à la sécurité qui consiste à coder en dur, directement au sein de leurs automatisations, les informations d'identification et autres données/éléments sensibles.
  • Mettez en œuvre plusieurs options pour gérer l'authentification des utilisateurs. Par exemple, des rôles et des autorisations doivent être disponibles, tels qu'Active Directory avec LDAP, Active Directory avec Kerberos, SAML2.0 et l'authentification locale utilisant un coffre d'informations d'identification intégré.

ÉTAPE 2 : créer un environnement de développement haute disponibilité bénéficiant d'un solide soutien en matière de gestion du cycle de vie du développement logiciel

Une fois l'accès sécurisé, vous pouvez passer à d'autres domaines pour éliminer toute vulnérabilité potentielle. Par exemple, les meilleures pratiques suivantes peuvent permettre de développer avec succès et en toute sécurité des robots logiciels d'automatisation :

  • Envisagez un protocole/plan de sécurité pour le développement de code nécessitant des analyses en continu à l'aide de plusieurs outils et sur plusieurs niveaux pour détecter et corriger les vulnérabilités logicielles.
  • Assurez-vous que votre fournisseur de plateforme est en mesure d'effectuer des tests d'intrusion proactifs en analysant le code pour détecter les vulnérabilités.
  • Garantissez la sécurité du périphérique qui exécute l'automatisation en tirant parti des solutions EDR (Endpoint Detection and Response) et DLP (Data Loss Prevention) pour appliquer les politiques, détecter les anomalies et remédier aux menaces de manière proactive.
  • Évaluez l'architecture des composants. Elle doit pouvoir s'intégrer de manière transparente dans votre infrastructure et vos processus existants haute disponibilité/reprise après sinistre (HA/DR).

ÉTAPE 3 : protéger les données au repos, en cours d'utilisation et en transit

Disposez-vous d'une protection des données de bout en bout ? Il est nécessaire de préserver la confidentialité et l'intégrité des processus stratégiques et des données sensibles. Votre plateforme d'automatisation doit fournir des garanties qui protègent non seulement les données au repos et en transit, mais aussi pendant leur utilisation sur les différents systèmes. Voici des exemples de garanties :

  • Crypter les informations d'identification locales et sélectionner les données d'exécution utilisées par les robots, utiliser le coffre d'informations d'identification pour stocker de façon sécurisée les paramètres de configuration sensibles et les informations des services de messagerie électronique et de contrôle de version intégral.
  • Utiliser la pseudonymisation de la procédure de gestion des données et de désidentification. La pseudonymisation transforme les données en identificateurs artificiels de sorte qu'il n'est plus possible d'utiliser ces dernières pour identifier une personne physique sans disposer d'informations supplémentaires conservées séparément.
  • Tous les services de réseau doivent utiliser le protocole TLS (Transport Layer Security) 1.2 (ou d'autres normes industrielles) pour garantir la sécurité et l'intégrité des données pendant le transit entre les composants.
  • La plateforme d'automatisation doit utiliser des technologies de cryptage standard du secteur pour garantir le cryptage de vos données. Le trafic à destination/en provenance des utilisateurs doit être crypté à l'aide de HTTPS + SSL/TLS 1.2 pour la communication avec l'environnement d'automatisation. Les données stockées dans le service, telles que les données au repos, doivent être cryptées à l'aide de la norme AES-256.

ÉTAPE 4 : conformité

Maintenant que vos collaborateurs ont accès aux domaines de votre entreprise qui leur sont réservés et qu'ils travaillent dans un environnement sécurisé, vous pouvez prendre du recul et vous pencher sur la question de la conformité.

L'évaluation et la gestion de la conformité se concentrent sur l'évaluation des systèmes et des processus afin de s'assurer que les normes et les exigences réglementaires du secteur sont respectées. Cette pratique doit être régulière. Au fur et à mesure de la croissance de l'entreprise, les différents services apportent des solutions pour faciliter l'évolution. Les nouvelles applications doivent être vérifiées afin qu'elles ne compromettent pas les multiples normes de sécurité. Des possibilités complètes et continues de journalisation des audits sur votre plateforme garantiront la sécurité de l'entreprise et le respect de la qualité. Dans les secteurs fortement réglementés tels que les sciences de la santé ou la finance, les organisations peuvent recevoir des amendes et d'autres sanctions si les normes de conformité, notamment HIPAA, PCI-DSS et FISMA, ne sont pas respectées.

ÉTAPE 5 : contrôler de manière proactive les opérations de sécurité

La sécurité n'est pas une activité ponctuelle. De nouvelles vulnérabilités et de nouvelles techniques cybercriminelles peuvent apparaître à tout moment. Vos opérations de sécurité doivent donc faire l'objet d'une surveillance permanente et être soumises à des normes strictes. À cette fin, voici les meilleures pratiques à suivre :

  • Assurez-vous que la plateforme d'automatisation offre un processus de cycle de vie du développement logiciel sécurisé (SDLC) avec des vérifications et des certifications effectuées par des administrateurs distincts ayant des rôles et des privilèges différents.
  • La séparation stricte des responsabilités ainsi que des contrôles à plusieurs niveaux doivent être intégrés pour garantir un pipeline de développement logiciel à la fois fiable, évolutif, efficace, sécurisé et conforme.
  • Le fait de disposer d'une équipe d'ingénieurs spécialisés dans la sécurité, responsable de l'examen de la conception, de la modélisation des menaces, de la validation manuelle du code et des vérifications ponctuelles, ainsi que des tests d'intrusion réguliers, garantit la sécurité de votre cloud.
  • Parallèlement aux opérations, la reprise après sinistre doit être gérée de manière proactive, de sorte que la surveillance et la notification des incidents vous permettent de gérer les situations en temps voulu.

Chez Automation Anywhere, nous pouvons vous aider à renforcer votre défense pour protéger vos données et vos opérations grâce à notre plateforme cloud-native Automation 360™ et à notre assistance.

Découvrez la Plateforme pour réussir l'automatisation.

Essayer Automation Anywhere
Close

Pour les entreprises

Inscrivez-vous pour obtenir un accès rapide à une démo complète et personnalisée du produit

Pour les étudiants et développeurs

Entrez dès maintenant dans le monde de la RPA avec un accès GRATUIT à la Community Edition