Comment protéger les actifs numériques de votre entreprise en 2024

21 décembre 2022

Assez souvent  nous rencontrons des entreprises notamment des Start-ups et des PME qui n'ont aucun contrôle sur leurs actifs numériques. Simplement parce qu'il a été créé par un employé qui ne faisait plus partie de l'organisation, ou n'a pas été remis au silo numérique de l'entreprise, ce qui a eu un impact sur le temps, les coûts et le contrôle de l'entreprise, et a parfois posé des goulots d'étranglement dans des situations très cruciales où un changement est nécessaire. Pour les entreprises, le temps, c'est de l'argent et tout ce qui peut vous faire perdre du temps est en effet CRITIQUE. La motivation et le but de la rédaction de cet article découlent de ce besoin de définir une « liste de contrôle d'hygiène pour la gestion des actifs numériques », afin que vous, en tant qu'entreprise, ne commettiez pas la même erreur et puissiez être mieux équipé pour la même chose.

Étant donné que le contexte des actifs numériques peut être énorme, permettez-moi de m'en tenir à ceux qui concernent les applications Web et mobiles que vous exécutez, et gardons de côté tous les autres actifs numériques pour le moment, tels que les actifs informatiques, les actifs numériques physiques, etc. 

Quels sont les actifs numériques utilisés par les applications Web et quelle est la meilleure façon d’en gérer la propriété. Quelles sont les questions que vous devez savoir en tant que propriétaire d'entreprise lorsque vous possédez ces actifs numériques, et quelles sont les choses à faire et à ne pas faire ici.

  • Hébergement et DNS

Votre application peut être hébergée dans un environnement d'hébergement partagé comme GoDaddy, ou dans un hébergement VPS dédié comme DigitalOcean ou Linode, ou dans un environnement cloud comme AWS Ec2 ou Azure. Quel que soit l'environnement, il est important que le compte ROOT de l'hébergement soit la propriété d'une messagerie professionnelle commune, avec une authentification à 2 facteurs liée à un numéro de mobile appartenant à l'entreprise. Les parties prenantes de l'entreprise doivent recevoir TOUTES les notifications du compte d'hébergement à tout moment, car s'il y a des échecs de facturation pendant 3 mois consécutifs, votre compte peut être résilié ou les données supprimées et c'est un risque ÉNORME. Fondamentalement, l'e-mail configuré ici doit être SURVEILLÉ à tout moment, et les données sont trop critiques si vous ne le faites pas.

Et aussi important que le contrôle de l'hébergement, le contrôle du DNS ou du fournisseur de nom de domaine (Peut être GoDaddy, Mercaba ou tout autre). Le compte principal auprès du registraire de domaine doit être sous l'adresse e-mail professionnelle commune, y compris le numéro de mobile qui y est lié pour l'authentification à 2 facteurs. Les notifications d'expiration des noms de domaine doivent être définies correctement afin que vous receviez des alertes en temps opportun et doivent être suivies pour éviter les temps d'arrêt ou les pannes inattendus.

  • Votre application Web et vos interfaces API 

L'application Web sera dans votre environnement d'hébergement mais il est important de le savoir

  1. Combien d'instances exécutez-vous et êtes-vous facturé ?
  2. Quelle est la pile technique exécutée par chaque instance, par exemple si elle est PHP ou Nœud ou Réagir ou une combinaison de pile pour le backend et le frontend. 
  3. Où est hébergée la base de données et combien de bases de données exécutez-vous.
  4. Quelles sont les intégrations tierces pour l'application et contrôlez-vous les comptes utilisés pour chacune d'entre elles ?
  5. L'application utilise-t-elle d'autres services comme Elastic Search, S3 ou tout autre service qui est facturé/facturé en plus et sur quelle base est-il facturé ? 
  6. Plus important encore, qui a accès à l'environnement d'hébergement, comment est-il contrôlé et quel est le processus utilisé pour accorder/révoquer l'accès. Idéalement, vous ne devriez JAMAIS partager la connexion du compte root, le meilleur moyen est d'ajouter des utilisateurs/de les inviter à utiliser le compte en tant que type d'utilisateur spécifique en fonction du niveau d'accès requis. Ou donnez un accès à un niveau ssh ou spécifique pour le travail à effectuer.

  • Base de code des applications Web

C'est important chaque fois que vous exécutez un site Web ou application mobile que vous disposez d'un compte de référentiel de code source géré pour votre entreprise, que ce soit GitHub ou Bitbucket ou des services similaires. L'e-mail utilisé pour créer le compte DOIT appartenir à l'entreprise, et pour chaque projet, le niveau d'accès requis peut être accordé aux développeurs. Il doit y avoir un processus pour ajouter/révoquer des utilisateurs en fonction des entrées/sorties des projets. Et il est également possible de donner un accès en lecture à quelqu'un pour visualiser le code, si vous souhaitez travailler avec une nouvelle société de développement et lui donner l'accès pour vérifier le code.

Pour une protection supplémentaire, il est bon d'ajouter une couche de protection supplémentaire pour la branche principale/maître qui contient le code de production, de sorte qu'elle nécessite l'approbation pour toute fusion de code dans cette branche et protège la branche contre la suppression, etc. Si vous voyez des moyens de activez la protection des branches pour Git, vous obtiendrez de bonnes informations à ce sujet.

  • Intégrations tierces

De nos jours, la plupart des applications Web disposent de nombreuses intégrations tierces, les plus courantes étant Google Maps, Google Analytics, les passerelles de paiement, les passerelles SMS pour la validation OTP, Mailchimp pour les abonnements à la newsletter, etc. Il est important de s'assurer que tous les comptes utilisés par l'entreprise proviennent de la messagerie professionnelle courante, avec une authentification à 2 facteurs liée à un numéro de mobile appartenant à l'entreprise. S'assurer également que toutes les clés API utilisées pour l'intégration sont générées avec le nom spécifique du projet et fournies à l'équipe de développement/intégration. Ce sera un problème si vous autorisez les développeurs à utiliser leurs comptes, à créer ces informations d'identification et à en autoriser l'utilisation, même dans le cas d'une carte Google ou d'un service gratuit. À un moment donné, l'entreprise devra passer aux comptes payants en fonction de l'utilisation, et il sera alors difficile de changer ou de mettre à niveau le compte de manière transparente.

  • Google Analytics , Social Logins ou autres

Il est bon de toujours planifier et intégrer des analyses sur tous les actifs numériques que vous gérez, surtout s'ils sont destinés aux clients. Et l'entreprise doit être propriétaire du compte Google Analytics que vous utiliserez, de la même manière qu'elle doit posséder tous les comptes de réseaux sociaux qu'elle utilise pour toutes ses intégrations.

  • Sauvegardes et instantanés

Bien que les sauvegardes et les instantanés fassent partie de la stratégie d'hébergement, selon le type d'hébergement, il est important de vérifier si vous les disposez à tout moment. Plateformes cloud comme AWS et Azure, conservent des instantanés, mais tous les fournisseurs d'hébergement ne maintiennent pas des sauvegardes de données continues, et c'est toujours une bonne stratégie de maintenir des sauvegardes à DISTANCE régulières.

Quand il s'agit d'applications mobiles

  • Identifiants PlayStore et Apple Store

Il s'agit d'informations d'identification utilisées par les développeurs pour publier les applications sur le Google Play Store ou l'App Store d'Apple. Elles doivent appartenir à l'entreprise et ne pas permettre aux développeurs d'utiliser les leurs. De cette façon, vous avez toujours le contrôle sur les analyses et les mises à jour des applications, et vous êtes informé de toutes les versions obsolètes et mises à niveau qui pourraient être nécessaires pour les applications. Les développeurs respectifs peuvent avoir accès, sur invitation uniquement, aux projets sur lesquels ils travaillent et rien d'autre n'est nécessaire ici. 

  • Notifications push – Identifiants

La plupart des applications mobiles utilisent un service tiers pour les notifications push, par exemple Firebase ou autres. Quel que soit celui que vous utilisez, il est important d’avoir le contrôle sur le compte utilisé ici.

  • Base de code d'application mobile

Base de code d'application mobile, tout comme des applications Web la base de code doit être maintenue dans un outil de contrôle de version de code comme Git ou BitBucket. Les mêmes règles applicables à la gestion du code Web s’appliqueront ici également. 

À notre époque, nous ne pouvons pas prendre les actifs numériques à la légère, car ils constituent à tout moment la bouée de sauvetage de l’entreprise, et il est extrêmement important de comprendre comment les protéger et les sauvegarder à tout moment. Ce qui précède n’est qu’un début, du point de vue de l’hygiène et des incontournables, et à mesure que nous approfondissons, d’autres bonnes pratiques et normes peuvent être suivies. Mais le VÉRIFICATION le plus important est de s’assurer que tout cela est en place dès le départ !

VOUS VOULEZ NOUS CONSULTER….CONTACTEZ-NOUS MAINTENANT!

fr_FRFrench