Les systèmes CRM du point de vue de la cybersécurité : protection ou menace ?

Le 31 mars est la Journée internationale de la sauvegarde, et la semaine précédente est toujours pleine d'histoires liées à la sécurité. Lundi, nous avons déjà entendu parler de l'Asus compromis et de « trois fabricants anonymes ». Les entreprises particulièrement superstitieuses restent assises toute la semaine sur des épingles et des aiguilles, effectuant des sauvegardes. Et tout cela parce que nous sommes tous un peu négligents en matière de sécurité : quelqu'un oublie d'attacher sa ceinture de sécurité sur la banquette arrière, quelqu'un ignore la date de péremption des produits, quelqu'un stocke son login et son mot de passe sous le clavier, et encore mieux, écrit tous les mots de passe dans un cahier. Certains individus parviennent à désactiver les antivirus « pour ne pas ralentir l'ordinateur » et à ne pas utiliser la séparation des droits d'accès aux systèmes de l'entreprise (quels secrets dans une entreprise de 50 personnes !). Il est probable que l’humanité n’a tout simplement pas encore développé l’instinct de cyber-conservation, qui, en principe, peut devenir un nouvel instinct fondamental.

Les entreprises n’ont pas non plus développé de tels instincts. Une question simple : un système CRM est-il une menace pour la sécurité de l'information ou un outil de sécurité ? Il est peu probable que quiconque puisse donner une réponse précise dans l’immédiat. Ici, nous devons commencer, comme on nous l'a appris dans les cours d'anglais : cela dépend... Cela dépend des paramètres, de la forme de livraison du CRM, des habitudes et des convictions du fournisseur, du degré de mépris des employés, de la sophistication des attaquants. . Après tout, tout peut être piraté. Alors comment vivre ?

C'est la sécurité de l'information dans les petites et moyennes entreprises À partir d'apprendre

Le système CRM comme protection

La protection des données commerciales et opérationnelles et le stockage sécurisé de votre clientèle sont l'une des tâches principales d'un système CRM et, en cela, il se situe au-dessus de tous les autres logiciels d'application de l'entreprise.

Vous avez sûrement commencé à lire cet article et avez souri au fond de vous en vous demandant qui a besoin de vos informations. Si tel est le cas, alors vous n'avez probablement pas traité de ventes et ne savez pas à quel point les bases de clients « en direct » et de haute qualité et les informations sur les méthodes de travail avec cette base sont très demandées. Le contenu du système CRM intéresse non seulement la direction de l’entreprise, mais aussi :  

• Attaquants (moins souvent) - ils ont un objectif lié spécifiquement à votre entreprise et utiliseront toutes les ressources pour obtenir des données : corruption d'employés, piratage, achat de vos données aux managers, entretiens avec les managers, etc.
• Des employés (le plus souvent) qui peuvent agir en tant qu'initiés pour vos concurrents. Ils sont simplement prêts à retirer ou à vendre leur clientèle pour leur propre profit.
• Pour les pirates amateurs (très rarement) - vous pouvez être piraté dans le cloud où se trouvent vos données ou le réseau est piraté, ou peut-être que quelqu'un veut « extraire » vos données pour le plaisir (par exemple, des données sur les grossistes en produits pharmaceutiques ou en alcool - juste intéressant à voir).

Si quelqu'un accède à votre CRM, il aura accès à vos activités opérationnelles, c'est-à-dire au volume de données avec lequel vous réalisez l'essentiel de vos bénéfices. Et à partir du moment où un accès malveillant au système CRM est obtenu, les profits commencent à sourire à celui entre les mains duquel se retrouve la clientèle. Eh bien, ou ses partenaires et clients (lire - nouveaux employeurs).

Bon, fiable Système GRC est en mesure de couvrir ces risques et d'offrir de nombreux bonus agréables dans le domaine de la sécurité.

Alors, que peut faire un système CRM en termes de sécurité ?

(nous allons vous le dire avec un exemple RégionSoft CRM, parce que Nous ne pouvons pas être responsables des autres)

• Authentification à deux facteurs utilisant une clé USB et un mot de passe. RégionSoft CRM prend en charge le mode d'autorisation utilisateur à deux facteurs lors de la connexion au système. Dans ce cas, lors de la connexion au système, en plus de saisir le mot de passe, vous devez insérer une clé USB préalablement initialisée dans le port USB de l’ordinateur. Le mode d'autorisation à deux facteurs aide à protéger contre le vol ou la divulgation de mots de passe.

Cliquable

• Exécutez à partir d’adresses IP et d’adresses MAC fiables. Pour une sécurité renforcée, vous pouvez empêcher les utilisateurs de se connecter uniquement à partir d'adresses IP et d'adresses MAC enregistrées. Les adresses IP internes sur le réseau local et les adresses externes peuvent être utilisées comme adresses IP si l'utilisateur se connecte à distance (via Internet).
• Autorisation de domaine (autorisation Windows). Le démarrage du système peut être configuré de manière à ce que le mot de passe utilisateur ne soit pas requis lors de la connexion. Dans ce cas, l'autorisation Windows se produit, qui identifie l'utilisateur à l'aide de WinAPI. Le système sera lancé sous l'utilisateur sous le profil duquel l'ordinateur fonctionne au moment du démarrage du système.
• Un autre mécanisme est clientèle privée. Les clients privés sont des clients qui ne peuvent être vus que par leur supérieur hiérarchique. Ces clients n'apparaîtront pas dans les listes des autres utilisateurs, même si ces derniers disposent de toutes les autorisations, y compris des droits d'administrateur. Vous pourrez ainsi protéger, par exemple, un pool de clients particulièrement importants ou un groupe pour une autre raison, qui sera confié à un gestionnaire fiable.
• Mécanisme de répartition des droits d'accès — une mesure de sécurité standard et primaire dans CRM. Pour simplifier le processus d'administration des droits des utilisateurs, en RégionSoft CRM les droits ne sont pas attribués à des utilisateurs spécifiques, mais à des modèles. Et l'utilisateur lui-même se voit attribuer l'un ou l'autre modèle, qui dispose d'un certain ensemble de droits. Cela permet à chaque employé - des nouvelles recrues aux stagiaires en passant par les directeurs - d'attribuer des autorisations et des droits d'accès qui leur permettront/empêcheront d'accéder aux données sensibles et aux informations commerciales sensibles.
• Système de sauvegarde automatique des données (sauvegardes)configurable via le serveur de script Serveur d'applications RegionSoft.

Il s'agit de la mise en œuvre de la sécurité en utilisant un seul système comme exemple, chaque fournisseur ayant ses propres politiques. Cependant, le système CRM protège réellement vos informations : vous pouvez voir qui a pris tel ou tel rapport et à quelle heure, qui a consulté quelles données, qui les a téléchargées et bien plus encore. Même si vous découvrez la vulnérabilité après coup, vous ne laisserez pas l'acte impuni et pourrez facilement identifier l'employé qui a abusé de la confiance et de la loyauté de l'entreprise.

Etes-vous détendu ? Tôt! Cette protection même peut jouer contre vous si vous êtes négligent et ignorez les problèmes de protection des données.

Le système CRM comme menace

Si votre entreprise possède au moins un PC, cela constitue déjà une source de cybermenace. Ainsi, le niveau de menace augmente avec le nombre de postes de travail (et d’employés) et avec la variété des logiciels installés et utilisés. Et les choses ne sont pas faciles avec les systèmes CRM - après tout, il s'agit d'un programme conçu pour stocker et traiter l'actif le plus important et le plus coûteux : une clientèle et des informations commerciales, et ici nous racontons des histoires d'horreur sur sa sécurité. En fait, tout n'est pas si sombre de près, et s'il est géré correctement, vous ne recevrez que les avantages et la sécurité du système CRM.

Quels sont les signes d’un système CRM dangereux ?

Commençons par une petite excursion dans les bases. Les CRM sont disponibles en versions cloud et de bureau. Les cloud sont ceux dont le SGBD (base de données) n'est pas situé dans votre entreprise, mais dans un cloud privé ou public dans un centre de données (par exemple, vous êtes assis à Chelyabinsk et votre base de données s'exécute dans un centre de données super cool à Moscou , car le fournisseur CRM en a décidé ainsi et il a un accord avec ce fournisseur particulier). Les ordinateurs de bureau (c'est-à-dire les serveurs sur site - ce qui n'est plus si vrai) basent leur SGBD sur vos propres serveurs (non, non, n'imaginez pas une immense salle de serveurs avec des racks coûteux, le plus souvent dans les petites et moyennes entreprises, c'est un seul serveur ou même un PC ordinaire de configuration moderne), c'est-à-dire physiquement dans votre bureau.

Il est possible d'obtenir un accès non autorisé aux deux types de CRM, mais la vitesse et la facilité d'accès sont différentes, surtout lorsqu'il s'agit de PME qui ne se soucient pas beaucoup de la sécurité des informations.

Signe de danger n°1

La raison de la probabilité plus élevée de problèmes avec les données dans un système cloud est la relation reliée par plusieurs liens : vous (locataire CRM) - fournisseur - fournisseur (il existe une version plus longue : vous - fournisseur - sous-traitant informatique du fournisseur - fournisseur) . 3-4 liens dans une relation présentent plus de risques que 1-2 : un problème peut survenir du côté du vendeur (changement de contrat, non-paiement des prestations du prestataire), du côté du prestataire (force majeure, piratage, problèmes techniques), du côté de l'infogérant (changement de manager ou d'ingénieur), etc. Bien entendu, les grands fournisseurs tentent de disposer de centres de données de sauvegarde, de gérer les risques et de maintenir leur service DevOps, mais cela n'exclut pas des problèmes.

Desktop CRM n'est généralement pas loué, mais acheté par l'entreprise ; la relation apparaît donc plus simple et plus transparente : lors de la mise en œuvre du CRM, le fournisseur configure les niveaux de sécurité nécessaires (de la différenciation des droits d'accès et d'une clé USB physique à la fermeture du serveur dans un mur de béton, etc.) et transfère le contrôle à l'entreprise propriétaire du CRM, qui peut augmenter la protection, embaucher un administrateur système ou contacter son fournisseur de logiciels si nécessaire. Les problèmes se résument au travail avec les employés, à la protection du réseau et à la protection physique des informations. Si vous utilisez un CRM de bureau, même un arrêt complet d'Internet n'arrêtera pas le travail, puisque la base de données se trouve dans votre bureau « à domicile ».

L'un de nos employés, qui a travaillé dans une entreprise qui a développé des systèmes de bureau intégrés basés sur le cloud, notamment CRM, parle des technologies cloud. « Dans l'un de mes emplois, l'entreprise créait quelque chose de très similaire à un CRM de base, et tout était connecté à des documents en ligne, etc. Un jour à GA, nous avons constaté une activité anormale de la part d'un de nos clients abonnés. Imaginez notre surprise, analystes, lorsque nous, n'étant pas des développeurs, mais disposant d'un niveau d'accès élevé, avons simplement pu ouvrir l'interface utilisée par le client via un lien et voir quel type de signe populaire il avait. D’ailleurs, il semble que le client ne souhaite pas que quiconque voie ces données commerciales. Oui, c'était un bug, et il n'a pas été corrigé depuis plusieurs années - à mon avis, les choses sont toujours là. Depuis, je suis un passionné d’ordinateurs de bureau et je ne fais pas vraiment confiance aux nuages, même si, bien sûr, nous les utilisons au travail et dans notre vie personnelle, où nous avons également eu quelques fakaps amusants.

D'après notre enquête sur Habré, et ce sont des salariés d'entreprises avancées

La perte de données d'un système CRM cloud peut être due à une perte de données due à une panne de serveur, à l'indisponibilité des serveurs, à un cas de force majeure, à la cessation des activités du fournisseur, etc. Le cloud signifie un accès constant et ininterrompu à Internet, et la protection doit être sans précédent : au niveau du code, des droits d'accès, des mesures de cybersécurité supplémentaires (par exemple, authentification à deux facteurs).

Signe de danger n°2

Nous ne parlons même pas d'une caractéristique, mais d'un groupe de caractéristiques liées au fournisseur et à ses politiques. Énumérons quelques exemples importants que nous et nos employés avons rencontrés.

• Le fournisseur peut choisir un centre de données insuffisamment fiable dans lequel le SGBD des clients « tournera ». Il économisera de l'argent, ne contrôlera pas le SLA, ne calculera pas la charge et le résultat sera fatal pour vous.
• Le fournisseur peut refuser le droit de transférer le service vers le centre de données de votre choix. Il s'agit d'une limitation assez courante pour le SaaS.
• Le fournisseur peut avoir un conflit juridique ou économique avec le fournisseur de cloud, puis pendant la « confrontation », les actions de sauvegarde ou, par exemple, la vitesse peuvent être limitées.
• Le service de création de sauvegardes peut être fourni moyennant un prix supplémentaire. Une pratique courante dont un client d'un système CRM ne peut prendre connaissance qu'au moment où une sauvegarde est nécessaire, c'est-à-dire au moment le plus critique et le plus vulnérable.
• Les employés des fournisseurs peuvent avoir un accès sans entrave aux données des clients.
• Des fuites de données de toute nature peuvent survenir (erreur humaine, fraude, hackers, etc.).

Habituellement, ces problèmes sont associés à de petits ou de jeunes vendeurs, mais les plus grands ont eu des ennuis à plusieurs reprises (google). Par conséquent, vous devez toujours disposer de moyens de protéger les informations de votre côté et discuter à l'avance des problèmes de sécurité avec le fournisseur de système CRM sélectionné. Même le fait même de votre intérêt pour le problème obligera déjà le fournisseur à traiter la mise en œuvre de la manière la plus responsable possible (il est particulièrement important de le faire si vous n'avez pas affaire au bureau du vendeur, mais à son partenaire, pour qui il s'agit important de conclure un accord et de toucher une commission, et non ces deux facteurs... et bien vous avez compris).

Signe de danger n°3

Organisation du travail de sécurité dans votre entreprise. Il y a un an, nous écrivions traditionnellement sur la sécurité sur Habré et menions une enquête. L'échantillon n'était pas très grand, mais les réponses sont indicatives :

À la fin de l'article, nous fournirons des liens vers nos publications, où nous avons examiné en détail la relation dans le système « entreprise-employé-sécurité », et nous fournirons ici une liste de questions auxquelles les réponses doivent être trouvées dans votre entreprise (même si vous n'avez pas besoin de CRM).

• Où les employés stockent-ils les mots de passe ?
• Comment s’organise l’accès au stockage sur les serveurs de l’entreprise ?
• Comment les logiciels contenant des informations commerciales et opérationnelles sont-ils protégés ?
• Tous les employés ont-ils un logiciel antivirus actif ?
• Combien d’employés ont accès aux données des clients et quel est leur niveau d’accès ?
• Combien de nouvelles recrues avez-vous et combien d’employés sont sur le point de partir ?
• Depuis combien de temps communiquez-vous avec les employés clés et écoutez-vous leurs demandes et plaintes ?
• Les imprimantes sont-elles surveillées ?
• Comment est organisée la politique de connexion de vos propres gadgets à votre PC, ainsi que d'utilisation du Wi-Fi professionnel ?

En fait, ce sont des questions fondamentales – les questions hardcore seront probablement ajoutées dans les commentaires, mais ce sont les bases, que même un entrepreneur individuel avec deux employés devrait connaître.

Alors comment se protéger ?

• Les sauvegardes sont la chose la plus importante qui est souvent oubliée ou négligée. Si vous disposez d'un système de bureau, configurez un système de sauvegarde des données avec une fréquence donnée (par exemple, pour RegionSoft CRM, cela peut être fait en utilisant Serveur d'applications RegionSoft) et organiser un stockage approprié des copies. Si vous disposez d'un CRM cloud, assurez-vous avant de conclure un contrat de savoir comment est organisé le travail avec les sauvegardes : vous avez besoin d'informations sur la profondeur et la fréquence, l'emplacement de stockage, le coût de la sauvegarde (souvent uniquement des sauvegardes des « dernières données de la période »). " sont gratuits et une copie de sauvegarde complète et sécurisée est fournie en tant que service payant). En général, ce n’est certainement pas le lieu des économies ou de la négligence. Et oui, n'oubliez pas de vérifier ce qui est restauré à partir des sauvegardes.
• Séparation des droits d'accès au niveau des fonctions et des données.
• Sécurité au niveau du réseau - vous devez autoriser l'utilisation du CRM uniquement au sein du sous-réseau du bureau, limiter l'accès aux appareils mobiles, interdire de travailler avec le système CRM depuis votre domicile ou, pire encore, depuis les réseaux publics (espaces de coworking, cafés, bureaux clients). , etc.). Soyez particulièrement prudent avec la version mobile - qu'elle ne soit qu'une version fortement tronquée pour le travail.
• Un antivirus avec analyse en temps réel est nécessaire dans tous les cas, mais surtout dans le cas de la sécurité des données d'entreprise. Au niveau politique, interdisez de le désactiver vous-même.
• Former les collaborateurs à la cyber-hygiène n’est pas une perte de temps, mais un besoin urgent. Il est nécessaire de faire comprendre à tous les collègues qu'il est important pour eux non seulement d'avertir, mais aussi de réagir correctement à la menace reçue. Interdire l'utilisation d'Internet ou de votre courrier électronique au bureau appartient au passé et est une cause de négativité aiguë, vous devrez donc travailler sur la prévention.

Bien entendu, en utilisant un système cloud, vous pouvez atteindre un niveau de sécurité suffisant : utiliser des serveurs dédiés, configurer des routeurs et séparer le trafic au niveau des applications et au niveau de la base de données, utiliser des sous-réseaux privés, introduire des règles de sécurité strictes pour les administrateurs, assurer un fonctionnement ininterrompu grâce à des sauvegardes. avec la fréquence et l'exhaustivité maximales requises, pour surveiller le réseau XNUMX heures sur XNUMX... Si vous y réfléchissez, ce n'est pas si difficile, mais plutôt cher. Mais, comme le montre la pratique, seules certaines entreprises, pour la plupart de grandes entreprises, prennent de telles mesures. C’est pourquoi nous n’hésitons pas à le répéter : ni le cloud ni le bureau ne doivent vivre seuls ; protégez vos données.

Quelques petits mais importants conseils pour tous les cas de mise en œuvre d'un système CRM

• Vérifiez les vulnérabilités du fournisseur - recherchez des informations en utilisant des combinaisons de mots « Vulnérabilité du nom du fournisseur », « Nom du fournisseur piraté », « Fuite de données du nom du fournisseur ». Cela ne doit pas être le seul paramètre dans la recherche d'un nouveau système CRM, mais il suffit simplement de cocher le sous-cortex, et il est particulièrement important de comprendre les raisons des incidents survenus.
• Renseignez-vous auprès du fournisseur sur le centre de données : disponibilité, combien il y en a, comment le basculement est organisé.
• Configurez des jetons de sécurité dans votre CRM, surveillez l'activité au sein du système et les pics inhabituels.
• Désactivez l'exportation des rapports et l'accès via API pour les employés non essentiels, c'est-à-dire ceux qui n'ont pas besoin de ces fonctions pour leurs activités habituelles.
• Assurez-vous que votre système CRM est configuré pour enregistrer les processus et enregistrer les actions des utilisateurs.

Ce sont de petites choses, mais elles complètent parfaitement le tableau d’ensemble. Et, en fait, aucune petite chose n’est sûre.

En mettant en œuvre un système CRM, vous garantissez la sécurité de vos données - mais seulement si la mise en œuvre est effectuée de manière compétente et si les questions de sécurité des informations ne sont pas reléguées au second plan. D'accord, c'est stupide d'acheter une voiture et de ne pas vérifier les freins, l'ABS, les airbags, les ceintures de sécurité, l'EDS. Après tout, l'essentiel n'est pas seulement d'y aller, mais d'y aller en toute sécurité et d'y arriver sain et sauf. C'est la même chose avec les affaires.

Et n’oubliez pas : si les règles de sécurité au travail sont écrites avec du sang, les règles de cybersécurité des entreprises sont écrites avec de l’argent.

Sur le thème de la cybersécurité et de la place du système CRM dans celle-ci, vous pouvez lire nos articles détaillés :

• Instinct commercial de base : la limite de la sécurité d'entreprise — un aperçu des menaces possibles pour la sécurité dans le domaine de l'entreprise et un schéma de détection approximatif.
• Faut-il protéger les données des salariés ? — une analyse détaillée de la manière dont les employés peuvent nuire à votre entreprise et comment ils le font dans le domaine commercial.

Si vous recherchez un système CRM, alors sur RegionSoft CRM jusqu'au 31 mars 15% de réduction. Si vous avez besoin d'un CRM ou d'un ERP, étudiez attentivement nos produits et comparez leurs capacités avec vos buts et objectifs. Si vous avez des questions ou des difficultés, écrivez ou appelez, nous organiserons pour vous une présentation individuelle en ligne - sans notes ni cloches ni sifflets.

Notre chaîne Telegram, dans lequel, sans publicité, nous écrivons des choses pas tout à fait formelles sur le CRM et les affaires.

Source: habr.com