Vos bots sont-ils sûrs? (2e partie)

Blog /Vos bots sont-ils sûrs? (2e partie)
NTT DATA Services BPO Bot blog post

Dans mon article précédent, j'ai expliqué pourquoi les entreprises doivent mettre l'accent sur la sécurité lorsqu'ils conçoivent des robots logiciels (bots). À une époque où la cybercriminalité touche de plus en plus les systèmes vulnérables, les entreprises devraient prendre la sécurité des bots très au sérieux.

Comme les bots fonctionnent dans un écosystème qui comprend des données sensibles, des applications, des API et des connecteurs (auxquels ont également accès les fournisseurs tiers et les clients), l'ensemble de l'écosystème – y compris le réseau de votre client – est vulnérable à plusieurs menaces. Dans l'article précédent, j'ai décrit les trois principaux piliers – dispositifs de sécurité, évaluation de la vulnérabilité, tests de pénétration – qui garantissent que vos bots intègrent les protocoles de sécurité nécessaires et fonctionnent dans un environnement sécurisé.

Dans la deuxième partie de cette série, je parle de ces trois piliers en détail et propose des solutions vous pouvez utiliser dans le cycle de développement de votre bot :

Fonctions de sécurité avancées

Assurez-vous d'appliquer des codes et des principes de sécurité stricts tout au long du cycle de développement, de la planification à la construction, aux tests et au déploiement.

  • Chiffrement standard de l'industrie : Tout au long du processus d'automatisation, le chiffrement – soit le cryptage de données ou le hachage de mots de passe de manière à ce que seules les parties autorisées puissent y accéder – contribue à garantir le plus haut niveau de sécurité. Le SHA-2 est un exemple d'algorithme de hachage éprouvé et accepté par l'industrie que vous pourriez utiliser.
  • Protection des données par le chiffrement et la destruction des données rémanentes dans un délai déterminé : Les données doivent être chiffrées aux trois stades, c'est-à-dire les données au repos (disque dur), les données en cours d'utilisation (mémoire) et les données en mouvement (réseau). Par exemple, lorsqu'un bot manipule des données confidentielles, telles que des informations de santé protégées (ISP), il faut utiliser du texte chiffré dans les trois étapes au lieu du texte en clair.
  • Pare-feu et système de prévention des intrusions : Étant donné que les bots fonctionneront probablement à travers différents pare-feu, assurez-vous qu'ils ne sont pas détournés et utilisés comme des chevaux de Troie. Utilisez un pare-feu et un système de prévention des intrusions efficaces et assurez-vous qu'ils sont mis à jour à la plus récente version.
  • Politiques de déploiement : Assurez-vous que toutes les mises en œuvre d'IPA suivent les politiques de déploiement établies, telles que la documentation, les tests, le contrôle des versions et les processus d'approbation.
  • Apprentissage automatique ou intelligence artificielle intégrée pour détecter les brèches de sécurité : Intégrez des pratiques d'apprentissage automatique. Grâce à l'apprentissage automatique, le logiciel pourrait éventuellement fournir des renseignements de sécurité en analysant les activités antérieures, ce qui permettrait de donner des avertissements plus rapides et plus précis qu'un humain.
  • Analyse comportementale :
    • Tenez des journaux de vérification qui enregistrent toutes les activités des bots ainsi que celles que de leurs utilisateurs dans l'infrastructure d'automatisation. Les journaux aident à reconstituer les incidents lorsque les bots se comportent de manière inattendue.
    • Utilisez des outils tels que l'analyse du comportement des utilisateurs et des entités (UEBA) qui utilise l'apprentissage automatique basé sur l'IA pour détecter les changements de comportement des bots.

Évaluation de la vulnérabilité

Comme les bots travaillent constamment à travers les réseaux et les pare-feu, assurez-vous de vérifier périodiquement l'intégrité de l'écosystème.

  • Conformité réglementaire : Tous les contrôles de conformité réglementaire qui sont applicables à un opérateur humain doivent être compilés et appliqués aux bots. Par exemple, conformément à règle de sécurité de l'HIPAA, un nom ou numéro d'utilisateur unique est requis pour identifier et suivre l'activité d'un utilisateur, ce qui devrait être obligatoire pour les bots travaillant sur les processus qui traitent des informations de santé protégées.
  • Préparation à la gestion des risques : L'équipe de gestion des risques doit participer à la phase de planification pour comprendre, déterminer et fournir des solutions aux risques liés à la mise en œuvre des bots.
  • Sécurité des réseaux et des applications :
    • Un système de sécurité efficace permet de détecter les attaques à l'intérieur du réseau (sécurité des points d'extrémité), de recueillir des preuves d'intrusions sur le réseau et de contrer les attaques sur le réseau.
    • La fonction de sécurité pour les applications empêche les attaques et les menaces provenant de diverses sources, telles que la validation des entrées, le détournement de session, les scripts intersites (XSS), la falsification de requête intersites (CSRF) et les attaques par déni de service.
    • Veillez à ce que les bots utilisent le chiffrement de bout en bout pour toutes les communications entre le client et le serveur; cela permet de prévenir les attaques par interposition (« Man-in-the-middle ») sur les réseaux.

Tests de pénétration (spécifiques pour les bots de processus)

Évaluez la sécurité de l'ensemble de l'écosystème en effectuant une série d'attaques simulées, ou des tests de pénétration.

  • Sécurisation des configurations et renforcement de la protection des appareils critiques : Assurez la protection des configurations afin de réduire la vulnérabilité inutile des serveurs, des postes de travail et des appareils réseau.
  • Contrôle d'accès logique : Utilisez un contrôle d'accès logique pour que les bots n'aient pas un accès inapproprié à des informations sensibles.
  • Gestion des correctifs de sécurité : Créez un inventaire de tous les logiciels utilisés pour la création de bots et vérifiez que la propriété des éléments est adéquate de manière à surveiller et garantir l'application des correctifs en temps voulu.
  • Gestion des mots de passe
    • Les fonctions de gestion des mots de passe, telles que l'authentification à deux facteurs ou la chambre forte, doivent faire partie intégrante d'un outil d'IPA pour la gestion et la protection de mots de passe et d'identifiants de connexion. Les détails doivent être protégés à l'aide de protocoles de chiffrement de haut niveau; il faut également assurer une sécurité élevée entre les processus lors de la « poignée de main » tout en mettant en œuvre une logique applicative sur les applications et en transférant les données d'un endroit à l'autre
  • Protection du code des applications contre des attaques comme l'injection SQL ou les scripts intersites
    • Intégrez les équipes TI et de sécurité informatique dans l'équipe de gouvernance de l'IPA dès le début; les équipes de sécurité informatique devraient commencer à déterminer les vulnérabilités dès le stade de la planification.
    • Utilisez les outils SAST (Static Application Security Testing) pour l'analyse de codes statiques pendant la phase de conception et l'outil DAST (Dynamic Application Security Testing) pour l'analyse du code dynamique pendant l'exécution.
    • Veillez à masquer le code source de l'application pour éviter la rétroingénierie avant de migrer les bots vers l'environnement de production.

La sécurité des bots doit être traitée avec la plus grande urgence, le plus grand sérieux et la plus grande discipline. Les organisations doivent s'assurer que les bots sont codés selon un processus sûr, mis en œuvre dans un environnement sûr et soumis à des tests de pénétration de façon régulière. Plus important encore, la sécurité des bots doit faire partie intégrante du protocole de gouvernance.

J'espère que ces lignes directrices vous aideront à établir des bases sûres pour vos activités d'ARP.

Lire l'article : Vos bots sont-ils sûrs? (1re partie).

Date de la publication : 2017-12-14

PARCOURIR NOS BLOGUES