Le groupe norvégien Visma dirige des centaines d’entreprises. Elles doivent toutes répondre à une certaine norme de sécurité, mais sont autorisées à rester indépendantes. Pour ce faire, Visma est devenu un spécialiste de la sécurité, un consultant et un soutien pour toutes ces entreprises.
Visma n’est pas une seule entreprise, mais un groupe qui compte plus de deux cents entreprises du secteur informatique. Les acquisitions sont une stratégie essentielle pour ce groupe d’origine norvégienne, qui investit dans des entreprises de toutes tailles. Dans notre pays, par exemple, il a acquis Beeple, une entreprise à grande échelle, ainsi que Teamleader, un spécialiste de la gestion de la relation client. Traditionnellement, les entreprises ont tout intérêt à rester indépendantes, mais la société mère Visma exige que certaines normes soient respectées. La sécurité n’est pas une mince affaire.
Critères communs
« Nous achetons environ une entreprise par semaine », explique Espen Johansen, responsable de la sécurité pour le groupe Visma à l’échelle mondiale. « Comment s’assurer que ces entreprises ont mis en place des pratiques de sécurité adéquates ? » Dans ce contexte, Visma a adopté une approche contrôlée, imposant aux entreprises de respecter certaines normes. « Cette approche ressemble grosso modo à des critères communs », explique Johansen.
Tout dépend de la maturité de l’entreprise, de son modèle d’entreprise et du secteur dans lequel elle opère. Les entreprises qui proposent un produit cloud fondamental doivent évidemment corriger les applications plus rapidement en cas de problème de sécurité qu’une entreprise qui maintient des logiciels sur site dans les locaux de ses clients. En général, les entreprises placées sous l’égide de Visma doivent respecter des normes de sécurité spécifiques, où la rapidité des correctifs joue un rôle important.
De la joie à la maturité
Pour les entreprises Visma du Benelux, Cindy Wubben, RSSI, est chargée de superviser ce processus. « Notre tâche consiste à guider les entreprises vers un niveau de maturité plus élevé », explique-t-elle. Pour ce faire, Visma a développé une batterie de programmes pour suivre les acquisitions.
Wubben : « Quand on achète une entreprise, on l’intègre à notre programme de sécurité. Nous les aidons à se familiariser avec le système et leur montrons ce qu’il faut implémenter. Grâce à la ludification et à un tableau de bord bien défini, le personnel est encouragé à faire des avancées rapides. »
Visma fournit ses propres outils de surveillance pour détecter les vulnérabilités, par exemple, mais il n’existe pas d’ensemble universel de matériel ou de logiciel que les entreprises devraient adopter. « Elles peuvent toujours utiliser leurs propres systèmes », précise Wubben. « Nous les aidons à s’améliorer dans les domaines nécessaires », a poursuivi Johansen. « Mais à l’inverse, nous pouvons parfois apprendre des choses extraordinaires de la part des nouvelles entreprises qui nous rejoignent. »
Des parents au conseil d’administration
Visma compte plus de 600 produits dans son portefeuille. « Au moins une personne par équipe est responsable de la sécurité », a indiqué Johansen. « De plus, environ 85 autres personnes, comme Cindy et moi-même, s’occupent de la sécurité. » Selon ses propres dires, Johansen et Wubben ont principalement un rôle de parents bienveillants. Ils aident les entreprises sur la voie de la maturité, mais les laissent décider par elles-mêmes. « Et quand les choses deviennent vraiment difficiles, il est bon d’avoir un parent à ses côtés », rit Wubben.
Quand la situation est vraiment difficile, il est bon d’avoir un parent à ses côtés.
Cindy Wubben, RSSI Visma Benelux
Bien sûr, cet amour paternel et maternel connaît des limites. Johansen : On passe rapidement du rôle de doux papa ou de tendre maman à celui d’un membre du conseil d’administration. Les paramètres de sécurité sont contrôlés à l’aide d’indicateurs clés de performance (ICP) et sont aussi importants que les résultats financiers. Si le service d’une entreprise n’est pas à la hauteur, le responsable doit le justifier.
D’abord, les données
Au sein du groupe Visma, la sécurité est fondée sur les données. Pour tous les services, l’entreprise enregistre des données sur les vulnérabilités et leur état. Des tableaux de bord clairs montrent quels services sont sécurisés et où se situent les problèmes. Si une fuite n’est pas comblée à temps, elle est bien clairement visible au sein de l’organisation Visma.
Pour les nouvelles entreprises, il n’est pas toujours facile de connecter leurs systèmes au back-end de Visma. Wubben : « Elles doivent bien sûr implémenter notre système. En général, cela prend quelques mois, mais parfois cela peut prendre plus de temps s’il y a beaucoup de systèmes anciens. Dans certains cas exceptionnels, il faut même reconstruire un produit pour qu’il réponde aux normes. »
Wubben souligne que toutes les entreprises de Visma comprennent clairement ce qui est attendu d’elles et reçoivent de l’aide dans leur propre langue, si nécessaire. Elle n’entend pas par là le néerlandais ou le norvégien : nos programmes de sécurité sont conçus par des informaticiens, pour des informaticiens.
Wubben et Johansen, en tant que consultants en sécurité, aident donc les entreprises du groupe Visma à devenir plus matures. Les entreprises sont libres dans leur choix d’outils, mais elles doivent intégrer leur environnement dans le système général de Visma qui assure le contrôle et le suivi des questions de sécurité. Grâce à cette méthode orientée sur les données, il est possible de définir des indicateurs clés de performance (ICP) pour la sécurité.
Économies d’échelle avec un SOC
Le rôle de Visma ne se termine pas là. En effet, les entreprises qui le souhaitent peuvent faire appel au SOC de Visma. Un tel centre opérationnel de sécurité (« Security Operations Center »), qui surveille en temps réel l’environnement informatique d’une entreprise, est pratiquement impossible à mettre en place pour une seule PME. Le groupe Visma utilise ses économies d’échelle pour proposer un SOC comme une sorte de service à part entière. Wubben signale qu’il ne s’agit pas non plus d’une obligation, mais d’une opportunité pour les entreprises rachetées.
Bug bounty et en plus, pentests
Cette méthode de sécurité fonctionne-t-elle ? Visma tient à être sûr. Voilà pourquoi le groupe adopte à la fois un programme de récompense des bogues (« bug bounty ») et des tests de pénétration (« pentests »). Les tests de pénétration forment l’avant-dernière couche de la défense. Les pirates y recherchent eux-mêmes des fuites dans les solutions, les services ou l’infrastructure du groupe Visma et de ses entreprises. Selon Johansen, seulement les tests de pénétration n’est pas suffisant. « Un tel test ne permet pas seulement d’évaluer le niveau de sécurité, mais aussi les compétences des testeurs », note-t-il. Par définition, ils ne trouveront pas ce qui est introuvable.
lire aussi
Vous souhaitez renforcer votre cybersécurité ? Faites appel à des hackers éthiques
La dernière ligne de défense de Visma est donc le programme « bug bounty ». Visma invite les pirates chapeaux blancs à tenter de s’introduire numériquement à volonté. Tous ceux qui trouvent une faille et la communiquent avec sérieux sont rémunérés et entrent dans un Temple de la renommée. Ce n’est pas gratuit, mais le coût du programme n’est pas trop exorbitant. Si les pirates trouvent un bogue, ils reçoivent une compensation pour les remercier. Johansen : « Pour les services qui ont tout réglé, le programme bug bounty coûtera peut-être un millier d’euros. Si nous accélérons le déploiement d’un service pour une raison ou pour une autre, il se peut que le coût augmente un peu. »
« Threat intelligence »
Bien entendu, Visma n’attend pas la découverte des pirates pour agir. La taille du groupe permet à l’entreprise de jouer le rôle d’un véritable spécialiste de la sécurité. « Nous sommes omniprésents et disposons de détecteurs dans de nombreux endroits », précise Johansen. « Nous essayons toujours de découvrir et de comprendre les nouvelles menaces qui menacent nos entreprises. » Par exemple, Visma possède sa propre forme de « threat intelligence » (renseignements sur les menaces) qui protège le groupe contre les attaques sophistiquées. « De plus, nous sommes ainsi informés des cas où, par exemple, certaines données sont vendues sur le dark web », ajoute Johansen.
Wubben et Johansen sont donc confiants. « Je pense qu’il est très difficile de mener une attaque réussie contre une entreprise Visma », dit Johansen. C’est important, car les entreprises Visma jouent un rôle essentiel dans la sécurité de leurs clients. Toute personne qui s’introduit chez Visma peut théoriquement faire de gros dégâts dans le monde entier. La puissance des attaques dites de la chaîne logistique est devenue terriblement évidente depuis SolarWinds et Kaseya. « Bien avant ces attaques, le groupe était déjà armé contre ce type de piratage », explique Johansen. « Je suis convaincu que la seule façon de faire une telle action est de faire appel à des initiés qui travaillent dans l’entreprise depuis longtemps. »
Visma semble avoir bien compris que la sécurité est une véritable priorité. Avec des données, des tableaux de bord, des indicateurs de performance, un SOC interne, des pentests et un programme bug bounty, Johansen et Wubben veillent à ne pas perdre le contrôle. De cette manière, Visma devient plus qu’un groupe de coordination pour les entreprises. En gardant à l’esprit la base de la stratégie, Visma devient une sorte de référence en matière de sécurité.