Julien Mammeri, Responsable de la Sécurité des Systèmes d’Information (RSSI) chez Septeo Solutions Notaires, supervise la sécurité de l’infrastructure informatique de SSN. Ses missions s’effectuent pour l’entreprise elle-même et pour la sécurité des infrastructures utilisées par nos clients, notamment les centres de données Cloud. Il nous explique les caractéristiques qui renforcent la sécurité des données dans le Cloud pour les notaires.
La principale différence réside dans la mutualisation des investissements en équipements de sécurité au sein du Cloud Septeo. C’est une démarche économiquement peu viable pour une étude notariale avec un serveur dédié. Septeo a investi et continue d'investir dans des équipements de sécurité haut de gamme qui améliorent considérablement la protection contre les cyberattaques. De plus, nous capitalisons au quotidien de l’expérience face aux cyberattaques, une expertise que les études notariales isolées ne possèdent pas. Septeo est continuellement en mesure d'identifier de nouvelles formes d'attaques cyber et de mettre en place des mécanismes pour les contrer. Cette expérience n'est pas accessible aux études utilisant des serveurs internes, à moins qu'elles ne bénéficient de notre service "Cyber SOC".
De tels incidents se produisent quotidiennement. L'an dernier, plus de 80 millions d'euros ont été détournés des études notariales en France.
Dans le cas d'une étude utilisant un serveur interne, l'attaquant installera un programme cryptant les données sur l'ordinateur de l'employé. Il accédera facilement au serveur pour infecter l'ensemble de l'étude. En quelques heures, l'activité sera bloquée, et le notaire recevra une demande de rançon pour débloquer l'accès aux données.
Avec le Cloud, l'attaquant rencontrera des difficultés considérables pour accéder au serveur de Septeo en raison des multiples couches de sécurité. Son pouvoir de négociation pour demander une rançon sera considérablement réduit, puisqu'il n'aura bloqué qu'un seul poste de travail.
Les données de nos clients sont stockées et traitées dans plusieurs centres. Nous disposons d'une sauvegarde immuable effectuée toutes les 24 heures en lecture seule. Même dans le pire scénario, les données datant de moins de 24 heures sont toujours accessibles.
Les données de sauvegarde immuable sont inaltérables, même pour nous. Quant aux autres données, seules nos équipes hautement qualifiées y ont accès. Elles sont uniquement stockées dans nos trois centres situés en France. Septeo étant une entreprise française, nous assurons une gestion sans ingérence étrangère.
Nos équipements de sécurité et notre expertise rendent les attaques contre Septeo beaucoup plus complexes que celles dirigées contre une étude isolée en France. Les criminels ont tendance à s'attaquer aux petites succursales de banque isolées plutôt qu'à la Banque de France, en raison des processus de sécurité moins performants. Ici, c’est le même principe.
Nous avons mis en place plusieurs mesures pour éviter de tels incidents. Les chances sont extrêmement faibles. Dans le pire des cas, nos autres centres de données prendraient le relais. La répartition de nos trois centres sur une distance de plusieurs centaines de kilomètres réduit considérablement le risque de perte de données. Le temps de redémarrage varierait en fonction du centre, mais nous serions en mesure de reprendre nos activités normales après une action de notre part.
Notre infrastructure est conçue pour qu'un serveur prenne automatiquement le relais en cas de défaillance d'un autre serveur. Le client ne remarquera aucune différence. En cas de dysfonctionnement plus important, où plusieurs serveurs d'un même centre de données tombent en panne, une interruption de quelques minutes pourra survenir. Cela peut aller jusqu'à deux ou trois heures, comme cela s'est produit en septembre 2023 lors d'un incident généralisé. La colère des clients touchés est tout à fait compréhensible, mais si un incident similaire se produit avec un serveur interne, leur étude restera bloquée pendant plus d'une semaine.
Nous avons plusieurs projets d'amélioration en cours. Le Cloud Septeo de 2024 est déjà bien plus performant que celui de 2021. Notre objectif est donc de continuer à nous améliorer dans plusieurs domaines, notamment la performance et la sécurité.
Un outil comme Kivia repose sur une technologie qui est nettement plus performante qu’iNot. Les fonctionnalités qu’offre Kivia ne pourront jamais être répliquées par iNot. Le potentiel qu'offre ce produit est énorme, notamment sur l'intelligence artificielle.
Lors d’une cyberattaque d’une grande ampleur, dans le cas d’un serveur, une étude peut perdre toutes ses données et être exposées à une cessation d’activité définitive. Avec le Cloud, l’étude peut être bloquée un ou deux jours, le temps que nos équipes utilisent la sauvegarde immuable et reconfigurent tous les postes de l’étude. L’activité ne sera jamais menacée. Le Cloud offre un avantage significatif d’un point de vue sécuritaire, mais il ne suffit pas à se prémunir des attaques cyber en générale. Je recommande à toutes les études notariales, grandes ou petites, de souscrire à un service « SOC » qui consiste principalement en trois choses :
.svg)
