Tiers Archiveur Electronique – Responsable de la sécurité de vos actifs – Tests d’intrusion externalisés en environnement certifié

Spark archives TAE

Être Tiers Archiveur Electronique est une lourde responsabilité et un engagement de qualité et de résultats sur la non-perte d’actifs et la totale étanchéité des tenants clients. Il ne s’agit pas juste de proposer un espace disque accessible par Internet mais bien de proposer un outil sécurisé de gestion des archives.

Spark Archives TAE est un service de Tiers Archivage Electronique certifié marque NF 461 de Klee Group. Ce service de Tiers Archivage a pour objectif de prendre en charge la gestion des archives courantes, intermédiaires voire historiques de ses clients en offrant une garantie de non-perte de données tout au long du cycle de vie des archives. En plus d’une sécurité numérique, la sécurité physique est primordiale. A ce titre, nos deux datacenters sécurisés par Klee Group bénéficient d’une certification ISO 27-001 sur le périmètre du service de Tiers Archivage.

Le service d’archivage électronique exposé via Internet permet également de gérer la localisation et la description des archives papiers qu’elles soient physiquement chez un ou plusieurs tiers archiveurs papier ou directement dans les locaux des utilisateurs. Enfin, le service « CFaaS » qui permet de générer des copies fiables à partir de documents numérisés puis de détruire l’archive papier nécessite, lui aussi, un niveau de sécurité des actifs numériques infaillible.

Dans le cadre des services proposés, Spark Archives TAE utilise la solution logicielle « Spark Archives Cuzco » qui a fait l’objet d’une campagne de tests en juin 2021.

Dans le cadre de son système de management de la sécurité de son service de Tiers Archivage, Klee Group a fait appel à un prestataire d’audit de la sécurité des systèmes d’information (PASSI).  L’objectif de cette campagne annuelle de test est de vérifier la robustesse du service déployé via une campagne de test d’intrusion réalisé directement dans l’environnement Tiers Archiveur électronique certifié NF461.

Cette année, c’est la société INTRINSEC qui a évalué la sécurité du service certifié NF 461 « Spark Archives TAE ». Fort d’une des plus grosses équipes d’auditeurs, elle a pris en charge la campagne de pentests 2021. Elle réalise plus de 500 audits et pentests chaque année. La campagne de pentests menée a été réalisée sous deux formes : 

• En « boîte noire », simulant un attaquant ne disposant d’aucun compte sur l’application.
• En boite grise, avec la possession de différents comptes sur l’application

La prestation a conduit à la remise d’un rapport écrit présentant l’évaluation du niveau de sécurité, les vulnérabilités identifiées ainsi que les préconisations associées.

La démarche a reposé sur la réalisation de tests conformes aux recommandations de l’OWASP Testing Guide et Top 10 et a couvert la recherche des vulnérabilités techniques (ex. : injections SQL, XSS, CSRF…) et fonctionnelles (défauts d’autorisation, élévation de privilèges, contournement de processus métier…) au sein de l’application et du service.

Les scenarios d’attaques en boîtes noires réalisés portaient sur :

• L’usurpation d’identité à cause d’une mauvaise gestion des cookies de session
• L’élévation de privilèges d’un collaborateur disposant initialement de peu de droits mais qui parvient à accéder à des données ou à des traitements métier protégés
• L’élévation de privilèges d’un collaborateur pour prendre le contrôle global du serveur web
• La faisabilité d’une attaque par phishing
• La faisabilité d’une attaque par Ransomware
• La récupération d’informations d’authentification d’autres utilisateurs
• La modification d’informations bancaires sans contrôle/validation
• La consultation d’information de comptes clients tiers (coordonnées personnelles, soldes de comptes etc.)
• Le contournement des validations de processus métier (ex. : validation lors de l’ajout d’un compte externe)

La sécurité de l’espace privé du service vis-à-vis d’un attaquant disposant d’un compte sur l’application ou ayant réussi à en contourner le mécanisme d’authentification a également été réalisé.

Les résultats des tests sont communiqués en toute transparence :

Christian Dubourg
Directeur Lab Innovation et Conformité
Spark Archives / KleeGroup