Comment Fabriq protège vos données industrielles ?
Découvrez en vidéo comment Fabriq protège les données industrielles de ses clients. La réponse à toutes vos questions dans cette interview de Yacine, notre Lead Developer.
Qui est Yacine, Lead Developer chez Fabriq ?
Bonjour, je m'appelle Yacine, je suis Lead Developer chez fabriq, et je m'occupe notamment des aspects sécurité, fiabilité, confidentialité et conformité.
Fabriq c'est un logiciel SaaS de management de la performance industrielle, dont l'objectif est de rendre les équipes de production plus efficaces et autonomes dans la résolution des problèmes opérationnels. Par conséquent, nous sommes partenaires d'un certain nombre de groupes industriels, qui attachent beaucoup d'importance à la protection des données.
Un logiciel Saas dans l'industrie, qu’est-ce que ça implique ?
SaaS c'est un acronyme pour software-as-a-service. Ça veut dire que l'application et la donnée sont chez le fournisseur, donc en l'occurrence chez nous, et pas chez le client.
Ça apporte de nombreux avantages : des coûts de maintenance réduits, une installation et une prise en main beaucoup plus rapides, ça s'accommode d'un nombre très variable d'utilisateurs. En plus en général ce sont des logiciels plus récents avec une interface plus moderne, plus intuitive.
Et au niveau de la protection des données, ça implique que c'est le fournisseur qui s'occupe des questions de sécurité et de confidentialité, donc nous.
Comment les logiciels Saas protègent votre donnée ?
Le SaaS est souvent opposé au on-premise, c'est-à-dire les logiciels gérés directement par le client. Pour comprendre la différence, le on-premise c'est un peu comme mettre son argent dans un coffre-fort chez soi, et le SaaS comme mettre son argent à la banque.
Une idée reçue c'est que le on-premise permet de mieux appréhender les questions de protection des données. En effet, le client à le contrôle, donc il est plus rassuré. En revanche, ça ne tient pas compte du fait que les clients ne sont souvent pas des experts logiciels, et ils doivent s'occuper de la protection des données pour un parc de logiciels avec des technologies très différentes, et sans en comprendre le fonctionnement.
Avec le SaaS, ce sont ceux qui ont conçu le logiciel qui le protègent. Et, les efforts sont mutualisés entre tous les clients. C'est la garantie, pour peu d'un bon investissement, que les meilleures personnes soient chargées de la sécurité.
L'analogie rend ça très clair : vous avez beau avoir un excellent coffre-fort chez vous, votre argent sera probablement plus en sûreté dans celui de la banque.
De plus, Fabriq étant une structure agile et moderne, elle peut employer les technologies les plus récentes de protection des données.
Comment Fabriq s’engage pour votre donnée industrielle ?
Déjà, Fabriq s'engage à ne pas exploiter les données de nos clients. Elles sont stockées pour leur usage ; nous ne la vendons pas et nous ne faisons aucune extraction pour notre compte. Notre mission est uniquement de servir la performance opérationnelle dans l'industrie.
Après, on met en œuvre tout un tas de politiques pour la protection des données. Je peux vous donner un exemple le chiffrement systématique de nos bases de données, le fait qu'on ne sauvegarde la donnée qu'en union européenne, et un truc duquel on est particulièrement faire, c'est l'application d'une politique Zero Trust. En gros, ça veut dire que notre système est robuste aux intrusions ; les acteurs doivent s'authentifier en permanence, et leurs droits sont limités à ce dont ils ont besoin.
Avec tout cela, on s'engage à être transparent sur notre posture de sécurité et nos pratiques avec nos clients.
Où sont stockées les données ? (où, par qui)
Les données sont stockées exclusivement en Europe par AWS.
Qui a accès aux données stockées ?
Déjà, les utilisateurs de Fabriq, c'est-à-dire les collaborateurs chez nos clients. Bien sûr, seuls les collaborateurs d'un client donné ont accès à la donnée de ce client. En plus de cela, les clients peuvent configurer les accès pour chacun des collaborateurs. Ils peuvent décider que les membres d'une équipe ne peuvent pas voir la donnée concernant une autre équipe.
Ensuite, chez nous, chez Fabriq, notre équipe opérations à accès à la donnée des clients afin de pouvoir les accompagner. Si d'autres équipes ont besoin de la donnée d'un client, on l'anonymise et on l'expurge avant de l'extraire.
Est-ce qu’il y a des sauvegardes ?
À quelle fréquence et comment on récupère les données si nos clients ont un problème ?
Absolument. On fait un snapshot, c'est-à-dire une extraction complète, toutes zles 24 heures et conservé 30 jours, et on réplique le log des modifications en temps réel dans trois zones de disponibilités. Du coup on est capable de restaurer la donnée à n'importe quel moment pendant les 30 derniers jours.
Que se passe-t-il si on ne travaille plus ensemble ?
Que deviennent vos données ? Comment vous pouvez les récupérer et sous quel format ?
Lorsqu'un client veut cesser sa collaboration avec Fabriq, on lui propose d'extraire la donnée qui l'intéresse, dans un format qui lui convient et, une fois remise, on supprime toute donnée le concernant de notre produit. Il faut ensuite attendre 30 jours, le temps que les sauvegardes expirent, afin que toute trace de la donnée du client ait disparu.
Avez-vous des certifications ? Lesquelles avez-vous ou envisagez-vous d’avoir sur la protection et l’utilisation des données ?
On a lancé il y a quelques mois un projet pour devenir conforme à la norme ISO 27001, et on a pour ambition de commencer la certification avant la fin de l'année 2022. On est très attachés à ces questions c’est d’ailleurs un axe à part entière de notre feuille de route technologique : rendre Fabriq de plus en plus robuste sur la partie cybersécurité à mesure que nous déployons notre solution chez des grands comptes.
Pourquoi tant d'efforts sur la sécurité ?
Les industriels sont très sensibles à la question, et à raison. Le domaine de l'industrie est très compétitif, et il y a des acteurs malveillants qui n'hésitent pas à vouloir fragiliser l'industrie française. C'est pourquoi la sécurité de nos clients, ça fait vraiment partie de nos principales préoccupations, et on a pour ambition d'être _la_ solution SaaS de l'industrie 4.0 pour lesquelles les clients auront toute leur confiance.
Comment Fabriq envisage l’avenir ?
La ligne conductrice, c'est vraiment la certification ISO27001, et c'est donc notre préoccupation principale. On aimerait aussi isoler les données de client au niveau infrastructure, c'est-à-dire avoir une base de données dédiée à chaque client.
