Gestaia Finance place ses données dans le Cloud Microsoft suisse

Gestaia Finance est une société genevoise spécialisée dans la gestion de fortune. Fondée en 2013, la PME avait déjà externalisé ses postes de travail dans le Cloud. Un changement de stratégie l’a amenée chez Steel Blue, qui a aussi transféré emails et fichiers dans le Cloud Microsoft suisse. Pour plus de modernité et de sécurité. Coup de projecteur sur cette transition.

Gestaia Finance exploitait la même informatique depuis huit années. Quand le moment de la transformation est venu, de nombreuses questions se sont posées. Car entretemps, l’émergence du Cloud avait apporté de nouveaux services et de nouvelles possibilités. Et les risques informatiques avaient aussi considérablement augmenté. Il s’agissait donc de profiter de ces nouvelles technologies tout en sécurisant ses données. Thomas Rose, Senior Asset Manager chez Gestaia nous décrit ce parcours :

« Notre changement d’infrastructure remettait en cause les technologies que nous avions utilisées jusqu’à maintenant. Nous avions évidemment entendu parler de Cloud public, et nous étions curieux de voir ce que cela pourrait nous apporter. Mais nous ne voulions prendre aucun risque quant à nos données. L’expertise de Steel Blue dans le Cloud public nous a rassurés. La localisation des données en Suisse chez Microsoft, associée à la stabilité des postes virtuels Amazon était la combinaison parfaite pour adresser nos besoins. »
Thomas Rose, Senior Asset Manager, Gestaia Finance

Une fois l’infrastructure validée, la migration pouvait avoir lieu. En s’appuyant sur une méthodologie éprouvée, et des outils efficaces, emails et fichiers ont été transférés dans le nouvel environnement de Gestaia, sans coupure ni perte de données. Ce qui a permis de limiter les pertes d’exploitation et de rendre la transition la plus transparente possible. Thomas Rose nous explique comment :

« Steel Blue s’est chargée de l’entier du projet. Tout a commencé par une phase d’inventaire, qui a permis d’identifier clairement ce qui devait être migré. Une fois ce contour défini, la préparation de l’environnement a été réalisée, et les outils de migration on fait leur œuvre. Le jour de la migration, nous avons pris possession de nos nouveaux bureaux virtuels, et nous avons retrouvé toutes nos données, que ce soient les emails et leurs dossiers, mais aussi les fichiers ou les calendriers. Tout a été réglé en une demi-journée. »
Thomas Rose, Senior Asset Manager, Gestaia Finance

La fluidité de la transition a permis de limiter les désagréments liés à tout changement informatique, et de se concentrer sur la prise en main et la formation. L’accent a été mis sur les possibilités offertes par les nouveaux outils de Gestaia, en termes de mobilité mais aussi en termes de sécurité et de partage des données.

« Notre changement d’infrastructure va bien plus loin que le simple remplacement de nos postes virtuels. Grâce aux outils proposés par Steel Blue, nous changeons de philosophie d’exploitation de nos données. Non seulement nous pouvons travailler de manière transparente en déplacement ou à la maison. Mais surtout nous gardons le contrôle sur nos fichiers, qui ne sortent plus de notre réseau. Si nous devons partager quelque chose, nous envoyons désormais un simple lien par email, qui pointe sur notre référentiel interne. En ce sens, le but original de notre migration était pleinement atteint.”
Thomas Rose, Senior Asset Manager, Gestaia Finance

Gestaia est donc à nouveau armée pour quelques années. Mais la société a aussi profité de ce changement pour faire un bond en avant dans l’exploitation du Cloud public et la sécurisation de ses données. Avec à la clé une mobilité accrue et la mise en place de bonnes pratiques dans l’accès et le partage des biens numériques. En la matière, elle montre la voie parmi les PME/TPE du secteur de la gestion de fortune sur Genève.

Piratage informatique : les institutions publiques dans le viseur des hackers

Ces derniers mois ont vu le piratage d’institutions publiques se multiplier. Entre autres, ceux de l’EMS de Vessy et de la commune de Rolle ont fait grand bruit. Et généré un vent de panique dans les établissements de santé similaires ou dans d’autres communes. Car les pirates risquent de ne pas en rester là. Et voici pourquoi.

Nombreuses sont les institutions publiques à avoir fait les frais du piratage informatique cette année. Au-delà des exemples mentionnés plus haut, citons aussi le gymnase intercantonal de La Broye. Et ceci malgré les avertissements répétés de la Confédération au travers du Centre National de Cyber-Sécurité (NCSC) pour inciter les organisations de toutes tailles à se protéger. Mais pourquoi les organismes publics semblent plus exposés ?

On peut tout d’abord y voir une certaine naïveté, doublée d’un sentiment de protection naturelle. En effet, de par leur nature, les services publics n’ont pas vocation à avoir une activité lucrative. Il n’y a donc pas réellement de manque à gagner en cas d’interruption informatique, même si l’usage des deniers publics n’est alors pas optimal. Les moyens de pression sont donc moindres. Et ces organismes se sentent, au plus, à l’abri, et en tout cas, pas naturellement dans le radar des hackers de tout poil.

L’exposition publique, nouveau levier du piratage informatique

C’était sans compter sur le changement de stratégie de ces derniers. Alors qu’il y a encore peu, le chantage portait sur la restitution des données, et le manque à gagner qui résultait de leur indisponibilité, il est maintenant coutumier qu’il se base sur l’exposition des données sur le DarkNet. Et pour une institution publique, cela change évidemment la donne. Non seulement parce qu’elles peuvent avoir à stocker et manipuler des données sensibles et/ou personnelles. Mais aussi parce qu’elles sont comptables de la protection de celles-ci.

Les institutions publiques manipulent des données qui peuvent s’avérer plus sensibles que celles d’une entreprise

En filigrane, c’est la pression publique que les pirates souhaitent utiliser comme levier pour arriver à leurs fins. Dans le cas de la commune de Rolle, les données dérobées ont été récupérées grâce à des sauvegardes récentes. Mais l’incident ne s’est pas arrêté là, puisque ces mêmes données ont été mise en vente sur le DarkNet. C’est d’ailleurs par ce biais que l’ampleur de la fuite a été découverte. Les pirates jouent donc en parallèle sur deux des caractéristiques de la sécurité informatique : l’intégrité des données, et leur confidentialité.

Ce chantage à la fuite des données est fatalement devenu prédominant ces derniers mois. Et il est « bien » adapté à l’attaque d’institutions publiques. Si la divulgation des salaires d’une entreprise n’est certes pas un événement très réjouissant, il n’affecte finalement que celle-ci. Dans le cas d’une commune ou d’un établissement d’enseignement, ce sont les données d’autrui qui sont exposées, avec des conséquences désastreuses dont l’étendue peut s’avérer immense.

Changer de stratégie pour parer les nouvelles attaques

A terme, c’est la stratégie de protection des données qui doit donc être revue. Car le seul maintien de leur intégrité ne suffit plus. Il est nécessaire de travailler en amont pour garantir leur confidentialité. Et même si le risque zéro ne peut évidemment pas être garanti, les moyens existent désormais pour assurer un niveau de protection décent sans mettre les budgets dans le rouge. L’important étant de rester au-dessus de la mêlée, et donc de la moyenne. Car ce sont naturellement les infrastructures les plus faibles qui seront visées en premier.

La sécurisation des accès aux données semble être la première pierre de l’édifice. La généralisation de MFA – Multi Factor Authentication – constitue une réponse devenue maintenant classique. Pour rappel, ce deuxième facteur d’authentification permet de se prémunir de la perte ou du vol d’un mot de passe. Si cette technique est maintenant généralisée sur les services Cloud classiques, elle tarde encore à s’imposer dans le monde des petites organisations, car elle requiert soit des moyens importants, soit de transférer ses services dans le Cloud justement. Ce que les institutions publiques peuvent encore avoir de la peine à accepter.

Externaliser ses données peut donner un sentiment de moindre protection contre lequel les institutions publiques doivent lutter

Autre point à considérer : l’accès au réseau où se trouvent les données. Le NCSC conseille à ce titre de renforcer l’accès à distance par réseau privé virtuel (VPN, Virtual Private Network) et de protéger les accès à des bureaux distants (notamment via le protocole RDP, Remote Desktop Protocol, de Microsoft). Comme nous l’avions expliqué il y a quelques mois, la pandémie de Covid-19 a amené les petites organisations à s’adapter, notamment pour faire face au besoin de travail à distance. Et ce sont ces deux technologies qui ont été sollicitées pour y arriver. Avec parfois des trous dans la raquette, que les pirates informatiques exploitent sans hésiter.

Les cyber-attaques de des derniers mois montrent donc que les hackers n’hésitent maintenant plus à s’attaquer à des organisations qui se croyaient protégées. Car la nature même de leurs cibles vont rendre ces attaques d’autant plus efficaces. Si les moyens de protection existent, leur mise en œuvre est, parfois, encore balbutiante. Ce qui laisse le champ libre, probablement pour quelques temps encore, à de nouvelles menaces. Et des gros titres dans la presse.