A l'occasion du lancement de l'offre convergente Triton, Frédéric Braut, directeur des opérations de l'éditeur Websense France, a rappelé que « les utilisateurs ont une forte attente de connexion avec l'extérieur des organisations et ce de façon parfaitement légitime, y compris, par exemple dans la recherche, à des blogs ou à Facebook. Et puis si le RSSI les bloque trop, il reste les clés 3G... » La sécurité et la continuité du SI obéissent donc désormais à des principes qui ont beaucoup évolué depuis quelques années. « Aujourd'hui, le SI central respecte en général les principes de la sécurité, de la continuité et de la conformité réglementaire » a jugé Eric Domage, analyste chez IDC. La connexion est un élément basique et banalisé du SI : ne pas réussir à connecter à un SI central les utilisateurs, même nomades, constituerait une faute inexcusable de la part du DSI. La difficulté n'est donc pas là. Selon Eric Domage, « l'enjeu migre de la connectivité vers la collaboration. Or cette collaboration se fait en coopétition [collaboration ponctuelle et limitée avec des concurrents, NDLR], avec des régulateurs publics, des clients, des fournisseurs, des partenaires divers... » Il s'agit donc de s'assurer que chaque donnée est accessible aux bonnes personnes en fonction de leurs droits propres.

La sécurité évolue constamment

La sécurité évolue donc sur un schéma en trois phases : d'abord la très basique sécurité centrée sur le réseau (la connexion, les supports...), puis la sécurité basée sur l'utilisateur et enfin la sécurité basée sur les données (qui peut accéder/modifier/transférer quoi, quoi doit être détruit quand, etc.). Chaque type de sécurité implique le respect d'un certain nombre de règles. IDC estime, en Europe, qu'un simple firewall obéit en moyenne à plus de 5000 règles différentes. Et il y a 2 à 3 changements par mois. « Si les règles d'origine légale changent peu, les règles internes évoluent, elles, sans cesse » souligne Eric Domage. Et ce n'est là qu'un aspect basique de la sécurité. Un élément mal pris en compte, en général, est celui de la pérennité et de l'obsolescence des donnés. La plupart des données personnelles doivent ainsi être détruites au bout d'un certain délai, variable selon les cas. Or, face à des manquements sur la sécurité des données, les régulateurs nationaux (comme la CNIL en France) n'ont plus aucun complexe à sanctionner. Leurs enquêtes sont d'ailleurs menées en général suite à dénonciation, en provenance d'un concurrent ou bien d'un ancien salarié mécontent.