La cybersécurité est devenue une préoccupation majeure pour les entreprises, surtout celles qui œuvrent dans le secteur de la santé numérique, comme Akinox.
De plus, la protection des informations et des solutions est devenue essentielle suivant l’avancée de la technologie de l’information et la digitalisation des données de santé. L’objectif est d’assurer la confiance des patients, la pérennité des entreprises et la protection des données des usagers. Chez Akinox, nous cherchons constamment à améliorer les méthodes avec lesquelles nous sécurisons nos plateformes et solutions. Nous restons à l'affût des dernières tendances au niveau de la cybersécurité, que ce soit avec l'ouverture de postes en sécurité ou l'obtention de certifications.
Programme de prime aux bogues du Gouvernement du Québec
Depuis octobre 2022, Akinox participe au Programme de prime aux bogues du gouvernement du Québec, qui est destiné aux entreprises technologiques qui désirent sécuriser davantage leurs systèmes d’information. Pour ce faire, des chercheurs en sécurité de l’information s’activent pour détecter de potentielles vulnérabilités des solutions inscrites à ce programme en les testant. Cette initiative détient une excellente réputation et observe une belle notoriété au sein de la communauté technologique, car elle permet d'améliorer et de renforcer considérablement les actifs informatiques du gouvernement du Québec, en plus de récompenser les efforts des chercheurs. Deux de nos solutions ont alors été mises de l’avant dans ce programme : le Guichet d’accès à la première ligne (GAP numérique) et notre Plateforme de soins virtuels.
En effet, ces deux plateformes d’Akinox, développées en collaboration avec le gouvernement du Québec et le ministère de la Santé et des Services sociaux, ont été ouvertes à la communauté de hackers qui voudraient y trouver des failles de sécurité. Ce programme a été très bénéfique pour Akinox, puisque la totalité des problèmes reportés a été corrigée.
« Nous travaillons en continu afin d’améliorer nos pratiques et nos solutions technologiques. C'est récompensant d'interagir avec nos clients et les différents organes de cybersécurité du gouvernement du Québec et de voir qu'à tous les niveaux, la sécurité et le respect de la vie privée sont une priorité. »
Mathy Scott, responsable de la sécurité des systèmes d’information chez Akinox.
Il est essentiel de participer aux efforts du gouvernement par la mise en place d’une culture de sécurité avec les membres de la communauté technologique, ce qui permet de sécuriser l’ensemble des plateformes et des solutions utilisées par la population.
Certifications ISO, SOC2 et Cloud Security Alliance Star II
Nous réalisons constamment des procédures pour l’obtention de différentes certifications, dans le but de garantir notre conformité à des normes et standards de qualité internationaux et de cybersécurité. En plus de nos deux certifications (ISO9001 et ISO/CEI 27001) obtenues l’année dernière, nous continuons à apporter des améliorations à notre SMSI (système de management de la sécurité de l’information) avec notre premier audit de surveillance ISO27001.
Au cours de l’année, nous bonifions notre pratique d’audits internes pour nous assurer que nos contrôles sont toujours en place. De plus, cela nous permet d’établir un processus d’amélioration continue qui facilitera la surveillance et la conformité, afin de nous adapter à la nouvelle version du standard parue après notre certification initiale. En basant nos contrôles sur des normes reconnues à l’international, nous nous assurons que nos pratiques sont à la hauteur des attentes de nos clients et sont en mesure d’aider à la protection des renseignements confidentiels contenus dans nos plateformes.
Aussi, nous complétons actuellement notre premier audit SOC2 type 2, qui est une évaluation indépendante des contrôles de sécurité et de conformité d'une entreprise réalisée sur une période donnée. Les contrôles établis par Akinox, en plus d’être basés sur ISO27001, répondent également aux critères de sécurité (Security Trust Service Principle) demandés par l’AICPA (American Institute of Certified Public Accountants). Leur bon fonctionnement a été observé sur une période de trois mois, d’octobre à décembre. Cet audit supplémentaire permettra à Akinox de démontrer davantage à ses clients la maturité et la rigueur des processus en place.
En plus d'effectuer les travaux nécessaires pour assurer le maintien des contrôles déjà en place, Akinox travaille cette année à l'atteinte d'une certification Cloud Security Alliance Star Level 2 (en anglais seulement). Cette certification vient complémenter ISO27001 et SOC2 et impose des contrôles plus précis et stricts s'adressant spécifiquement à l’un des objectifs d'Akinox, qui est la protection des données et des systèmes infonuagiques. Ayant déjà complété une autoévaluation Cloud Security Alliance Star Level 1, Akinox intègre présentement les changements requis dans ses politiques, ses contrôles et ses procédures pour adresser les quelques écarts trouvés afin de planifier l'audit.
Partenariat avec ARMO
Dans le but de sécuriser nos processus, les expertes d’Akinox ont commencé à utiliser Kubescape, l’outil de sécurité de Kubernetes. À titre d’information, Kubernetes est un système open source permettant l’automatisation du déploiement et la mise en échelle et la gestion des applications conteneurisées. Notre équipe est alors passée à la solution commerciale ARMO Platform, de la compagnie israélienne ARMO, qui développe un outil pour aider à sécuriser les logiciels s’exécutant dans Kubernetes, afin de bénéficier des avantages de qualité professionnelle.
Ainsi, un partenariat s’est créé entre Akinox et ARMO, dans le but de continuer à utiliser leurs outils pour accroitre la sécurité de nos divers processus de déploiement. Alexandre Lussier, DevOps chez Akinox, et Mathy Scott, responsable de la sécurité des systèmes d’information, ont été les principaux contacts de ce partenariat avec ARMO et ont travaillé fort pour renforcer la sécurité de nos différents logiciels.
« Akinox connait une croissance importante, à la fois en termes d’échelle technologique et de besoins différents. Il est intéressant de voir comment leurs produits réagissent à ce genre de situation. Il est également agréable de voir Alexandre et Mathy travailler ensemble pour atteindre leurs objectifs de sécurité en utilisant une approche DevSecOps avec notre produit et la plateforme d’Akinox. »
Oshrat Nir, responsable du marketing produit chez ARMO
Un des outils offerts par ARMO est Kubescape, qui a été installé dans nos différents clusters Kubernetes. Cet outil nous aide non seulement à sécuriser nos déploiements, mais aussi à trouver des vulnérabilités dans les systèmes qui comprennent nos solutions et plateformes. De plus, Kubescape contient plusieurs fonctionnalités qui nous permettent de bâtir des flux de travail basés sur les recommandations faites par l’outil. Ce dernier permet également de concentrer nos efforts sur ce qui a vraiment un impact sur la sécurité de nos environnements, tel que :
- Détecter des erreurs ou des problèmes de configuration qui pourraient mener à des problèmes de sécurité ;
- Analyser les dépendances dans les différentes applications pour trouver des vulnérabilités connues qui n’auraient pas été corrigées avant ;
- Donner de la visibilité sur les permissions des utilisateurs à l’intérieur des clusters Kubernetes, qui sont distinctes des permissions gérées directement sur Microsoft Azure.
Un autre avantage particulier de cet outil est les multiples différentiateurs qui permettent de réduire les faux positifs, nous permettant donc de mieux optimiser nos efforts et notre temps. Kubescape n’analyse que les images qui sont réellement utilisées par nos plateformes et nous permet d’éviter de traiter certaines recommandations que d’autres outils auraient faites, dont le risque résiduel contextualisé aurait été faible ou inexistant.
Ce partenariat avec ARMO nous donne aussi l’opportunité de participer à l’événement KubeCon + CloudNativeCon, qui se déroulera à Chicago en novembre 2023. Il s’agit d’un événement qui rassemble des professionnels des principales communautés open source et cloud native et fournit un forum important pour échanger des informations pertinentes, des perspectives sur Kubernetes et les tendances DevOps plus larges.
Création de deux nouveaux postes en sécurité chez Akinox
Avec l’augmentation du déploiement de nos plateformes, nous avons créé deux postes en sécurité pour bénéficier de davantage d’expertise afin de rendre nos plateformes et solutions plus sécuritaires : spécialiste en sécurité infonuagique et spécialiste en sécurité applicative.
Le premier poste vise à répondre à la croissance rapide d’Akinox et de nos services hébergés dans le cloud, tout en accompagnant les équipes à livrer des solutions sécuritaires. Le spécialiste en sécurité infonuagique effectuera les balayages de vulnérabilité d’infrastructure et de configuration des outils et identifiera les améliorations possibles des solutions de surveillances et d’alertes adaptées au contexte d’Akinox.
Le poste de spécialiste en sécurité applicative, quant à lui, a été ouvert afin d’aider les équipes de développement de l’entreprise dans leurs processus d’architecture et de designs applicatifs sécuritaires. De plus, il aidera au triage et à la priorisation des vulnérabilités et effectuera régulièrement des revues de code sécuritaires.
Il est essentiel pour Akinox de sensibiliser les membres de chaque équipe à l’analyse de risques et aux différents outils pour faciliter le travail au quotidien. La sensibilisation et la formation de nos collaborateurs et collaboratrices sont essentielles pour faire de la sécurité de nos plateformes un effort collectif impliquant tous nos experts, quel que soit leur domaine d'expertise, car ensemble, on va plus loin !