A l'occasion du lancement de l'offre convergente Triton, Frédéric Braut, directeur des opérations de l'éditeur Websense France, a rappelé que « les utilisateurs ont une forte attente de connexion avec l'extérieur des organisations et ce de façon parfaitement légitime, y compris, par exemple dans la recherche, à des blogs ou à Facebook. Et puis si le RSSI les bloque trop, il reste les clés 3G... » La sécurité et la continuité du SI obéissent donc désormais à des principes qui ont beaucoup évolué depuis quelques années. « Aujourd'hui, le SI central respecte en général les principes de la sécurité, de la continuité et de la conformité réglementaire » a jugé Eric Domage, analyste chez IDC. La connexion est un élément basique et banalisé du SI : ne pas réussir à connecter à un SI central les utilisateurs, même nomades, constituerait une faute inexcusable de la part du DSI. La difficulté n'est donc pas là . Selon Eric Domage, « l'enjeu migre de la connectivité vers la collaboration. Or cette collaboration se fait en coopétition [collaboration ponctuelle et limitée avec des concurrents, NDLR], avec des régulateurs publics, des clients, des fournisseurs, des partenaires divers... » Il s'agit donc de s'assurer que chaque donnée est accessible aux bonnes personnes en fonction de leurs droits propres.
La sécurité évolue constamment
La sécurité évolue donc sur un schéma en trois phases : d'abord la très basique sécurité centrée sur le réseau (la connexion, les supports...), puis la sécurité basée sur l'utilisateur et enfin la sécurité basée sur les données (qui peut accéder/modifier/transférer quoi, quoi doit être détruit quand, etc.). Chaque type de sécurité implique le respect d'un certain nombre de règles. IDC estime, en Europe, qu'un simple firewall obéit en moyenne à plus de 5000 règles différentes. Et il y a 2 à 3 changements par mois. « Si les règles d'origine légale changent peu, les règles internes évoluent, elles, sans cesse » souligne Eric Domage. Et ce n'est là qu'un aspect basique de la sécurité. Un élément mal pris en compte, en général, est celui de la pérennité et de l'obsolescence des donnés. La plupart des données personnelles doivent ainsi être détruites au bout d'un certain délai, variable selon les cas. Or, face à des manquements sur la sécurité des données, les régulateurs nationaux (comme la CNIL en France) n'ont plus aucun complexe à sanctionner. Leurs enquêtes sont d'ailleurs menées en général suite à dénonciation, en provenance d'un concurrent ou bien d'un ancien salarié mécontent.
[[page]]
La sécurité sous les nuages, l'orage menace
Les évolutions de plate-forme techniques ne sont pas non plus sans incidence. Ainsi, l'émergence du « cloud » se fait en général sans se préoccuper de la sécurité. Le choix est souvent fait sur des critères financiers et le RSSI n'est averti que quand les données sont déjà quelque part dans le nuage. Or, dans le cloud, plusieurs problème subsistent a insisté Eric Domage : la perte de contrôle (qui applique les règles de gestion et de sécurité ? Comment sont-elles auditées ?), les menaces internes (le talon d'Achille des hyperviseurs reste ainsi les machines virtuelles déviantes), la conformité réglementaire (géolocalisation de données personnelles par exemple), suivi de la sous-sous-traitance, réversibilité du choix d'un prestataire... Pour couvrir tel ou tel risque, l'entreprise adopte telle ou telle solution. Il en résulte un empilement de méthodes et d'outils dont la complexité devient un risque en elle-même. « Le vrai problème aujourd'hui concerne plus le management de la sécurité que les techniques de sécurisation en elle-même » insiste Eric Domage.
Selon IDC, la sécurité reste toujours une problématique complexe
Les vieilles techniques de la sécurisation du SI restent indispensables mais sont de plus en plus insuffisantes face aux nouvelles pratiques et aux nouvelles technologies. La sécurité reposera de plus en plus sur la flexibilité et la prise en compte de la collaboration.