Entre interconnexions diverses et sécurité optimale

Par Sabine Terrey | 28/05/2014 Sécurité, DataCenter, BYOD, Confidentialité, Défense

 

Dans un monde ultra interconnecté, où les frontières sécuritaires se dissolvent et les modèles traditionnels IT sont complètement repensés, Paul Jaillard, DSI de Segula Technologies, nous livre sa vision de la sécurité aujourd'hui…

Contexte, tendance et culture…

« Le monde est de plus en plus interconnecté et cette interconnexion est antinomique avec la question de la sécurité ellemême » admet Paul Jaillard. Pour exemple, l'interconnexion de systèmes, le BYOD, génèrent de l'insécurité et brouillent la frontière entre sphères publique et privée.

Le propre de l'informatique n'est-il pas de permettre de se connecter ? Tout est fait en ce sens, les écrans sont installés pour un accès à distance, les serveurs sont interconnectés et les données s'échangent rapidement. Toutes les entreprises « plongent » dans l'interconnexion (BYOD, sites internet, passerelles…) avec tous les problèmes de sécurité qui s'en suivent et qu'il faut traiter impérativement. Ainsi, aujourd'hui, le contexte est plutôt défavorable au maintien du niveau de sécurité imaginé il y a encore quelques années. En effet, jusqu'à présent, l'entreprise était protégée par des barrières relativement étanches et à l'intérieur desquelles, le niveau de confiance envers les utilisateurs et les outils était simple, clair et manifeste. Cette frontière vole en éclat et devient floue. Face aux interconnexions multiples, les droits d'accès deviennent progressifs (visiteurs, utilisateurs simples, administrateurs…) avec des accès permanents ou temporaires, bas ou élevés, en un mot sélectif. Le niveau de sécurité d'un système n'est pas le niveau de sécurité de l'outil le plus puissant installé pour protéger la citadelle. Au contraire, c'est le niveau de sécurité de l'endroit le plus faible de la citadelle.

Tous ces éléments conditionnent la manière dont il faut traiter les problématiques de sécurité, en travaillant en priorité sur les points les plus faibles au lieu de renforcer les points forts.

La notion humaine

« Lorsqu'on évoque la sécurité, la tendance, dans notre monde matérialiste, est d'abord de penser aux outils. Les solutions sont vues comme des choses nouvelles » commente Paul Jaillard. Et pourtant, la sécurité va bien au-delà de simples problématiques d'outils ! « La sécurité, c'est avant tout, une culture accompagnée de procédures ». Derrière la sécurité, se dévoile un aspect complexe et humain, « c'est surtout un problème d'hommes ». La communication avec les utilisateurs est essentielle. Pourquoi mettre en place des mesures de sécurité ? En quoi le comportement des utilisateurs influe-t-il sur la sécurité ?

« Donner son mot de passe » est-ce un acte si anodin que cela ? non, car il est non seulement interdit par toutes les chartes informatiques, mais aussi parce qu'il signifie « dupliquer son mot de passe ». L'utilisateur ne se prive pas de son mot de passe. Certes, il continue à l'utiliser, mais une autre personne peut l'utiliser et voler des informations. Le vol d'information n'est pas perçu de la même façon que le vol d'un objet car l'information volée ne manque pas. L'utilisateur baisse la garde, il n'a pas le sentiment d'être en insécurité. Il est tout aussi difficile de sensibiliser un dirigeant d'entreprise car il ne perçoit pas ce que la sécurité représente ou vaguement, si ce n'est après le désastre… Or, le danger est réel !

L'insécurité provient également du social engineering. Les réseaux sociaux sont une mine d'informations qui permet de pénétrer simplement des réseaux en captant de l'information laissée dans le domaine public. Une voie royale toute tracée pour les personnes mal intentionnées…

Quelle évolution de la sécurité en entreprise ?

D'une protection périmétrique de l'entreprise, il y a encore dix ans, on assiste aujourd'hui à une situation où les données se trouvent à différents endroits et où les utilisateurs accèdent à différentes parties du système d'information et à plusieurs niveaux d'informations, de confidentialité, d'applications en fonction de leur statut, de leur domaine, de la hiérarchie, de l'appareil ou périphérique utilisé, de l'origine de l'accès interne ou externe…

« Au cours des prochaines années, il faudra donc être capable de gérer l'accès à l'information de façon beaucoup plus granulaire » explique Paul Jaillard. La tendance sera sans doute de « bunkeriser » le datacenter pour une protection plus forte de la partie ‘données' en tant que telle, avec une granularité d'accès très fine, en fonction du type d'informations, de personnes et de « devices ».

En outre, « ces nouveaux devices ont un niveau de sécurité variable. Souvent, insuffisamment protégés, ils accèdent néanmoins à autant d'informations qu'un PC » souligne Paul Jaillard. Les niveaux de protection sont bien inférieurs aux niveaux de protection des PC alors que les smartphones par exemple disposent de capacités analogues ! « Gérer les nouvelles et nombreuses combinaisons de niveau d'informations, de personnes, d'accès, en intégrant la multiplication des réseaux sociaux, va devenir prioritaire » ajoute le DSI.

Jusqu'à 2001, la liberté primait sur la sécurité, mais depuis le 11 septembre, il semble que la priorité se soit complètement inversée. Et de conclure, « Le Patriot Act notamment ne place-t-il pas la sécurité au-dessus de la préservation de la liberté individuelle ? » Il paraît plus important désormais d'être en sécurité plutôt que d'être libre et de respecter la vie privée de chacun. C'est un vrai mouvement de fond qui constitue un réel danger pour tous… Mais là, nous glissons vers un sujet politique qui dépasse évidemment le cadre de l'informatique !