« La sécurité se professionnalise. C'en est fini de l'époque où l'on empilait les technologies, installant un pare-feu par-ci et un antivirus par-là. Aujourd'hui, la sécurité sort de son côté technique pour devenir une préoccupation majeure des directions utilisatrices et des directions générales. » Jean-Marc Grémy, directeur d'Ipelium, un spécialiste de la sécurité et de la mobilité, fait son autocritique et mesure le chemin parcouru depuis les années 1990.

A l'époque, le métier voyait défiler des ingénieurs réseaux promus responsables sécurité du jour au lendemain. Les notions métier de probité, de plan de continuité ou de plan de secours, qui incluent à la fois fournisseurs et clients, étaient quasiment inexistantes. Elles seront au coeur des débats la semaine prochaine, lors d'Infosec, le salon référence du secteur.

Longtemps, la sécurité est restée synonyme de confidentialité. Le réseau étant la propriété de l'entreprise, il suffisait de sécuriser les points de contact avec l'extérieur. L'entreprise s'enfermait alors derrière un mur et verrouillait son périmètre à coups de pare-feu et de modems chiffrants. Depuis l'avènement d'internet et le développement du concept d'entreprise étendue, ce modèle vole en éclats.

« On commence par ouvrir des portes pour les télétravailleurs et les itinérants ou pour les accès sans fil. Puis on se rend compte que, pour travailler en flux tendu, il faut en plus s'interconnecter aux PGI des clients et des fournisseurs, et donc considérer le réseau des partenaires comme une extension de celui de l'entreprise. Au final, c'est le système d'information tout entier qu'il faut considérer comme public », observe François Renault, associé chez Deloitte & Touche Sécurité.

Du coup, il faut trouver de nouveaux moyens de sécuriser le réseau. Plus question de se contenter de verrouiller la périphérie, ni de laisser chaque application gérer ses propres utilisateurs, avec ses identifiants, ses mots de passe et ses droits. Cela deviendrait rapidement ingérable avec des centaines d'applications et la complexité croissante des systèmes d'information et des PGI interconnectés.

« Il devient donc essentiel de passer d'une gestion des identifiants à une gestion des identités numériques, qui, elle, va transcender les entreprises, explique François Renault. Cela conduit à des problèmes organisationnels. Parce que, derrière la gestion des identités numériques, il faut des annuaires partagés et des certificats reconnus d'une entreprise à l'autre. Les enjeux sont colossaux. »

On est donc loin du paramétrage, du pare-feu, et de l'antivirus. La sécurité s'inscrit maintenant dans une logique de processus métier : on se demande désormais comment sécuriser les étapes d'une commande, comment garantir la confidentialité entre tel et tel point, ou comment avoir la preuve d'une correspondance entre tel et tel acteur. La réflexion se situe donc davantage dans l'échange que dans l'infrastructure — serveur, réseau, proxy, etc.

Dans le même temps, le métier évolue. Après les ingénieurs très pointus techniquement, les profils les plus recherchés sont ceux qui savent prendre du recul et adopter une démarche globale. « Nous ne nous adressons plus uniquement à des responsables réseaux, remarque Jean-Marc Grémy d'Ipelium. Nos interlocuteurs sont aujourd'hui les directions générales, les directions financières, voire des directions marketing qui se rendent compte qu'apporter de la confiance à leurs clients par la sécurité peut apporter un avantage concurrentiel. »

Si cette évolution est si forte, c'est aussi parce que l'écosystème a changé. La prolifération de l'offre a, tout d'abord, entraîné une baisse drastique des coûts. Il y a peu, le ticket d'entrée d'une architecture à clés publiques était exorbitant — surtout quand elle servait uniquement à gérer des mots de passe. Or, non seulement l'offre est devenue abordable, mais des applications justifiant les projets se multiplient aussi — notamment pour la dématérialisation et la signature électronique. La facture est ainsi un axe important de la dématérialisation dans les entreprises. Les économies peuvent s'avérer énormes... Ne serait ce qu'en termes de papier.

L'Etat aura été le premier à montrer la voie avec les télédéclarations de la TVA et de l'impôt sur le revenu (Télé-TVA et Télé-IR). Ces applications ont non seulement sensibilisé les entreprises à la notion d'identité numérique, mais elles ont aussi contribué à développer le marché français de la certification et des tiers de confiance. « En référençant une famille de certificats que les entreprises peuvent acheter pour signer leur déclaration, le ministère des Finances a fini par créer le premier référentiel de sécurité en France », se réjouit Christopher Norman, associé chez Deloitte & Touche.

Les certificats de Télé-TVA sont ainsi devenus la norme pour tout ce qui concerne les échanges interentreprises. Certains acteurs, comme Certimonics, n'hésitent d'ailleurs pas à utiliser leur référencement Télé-TVA comme argument commercial.

Enfin, signe de maturité, la sécurité s'est entourée d'une batterie de normes, qui facilitent la mise en oeuvre de méthodes et de solutions, tout en l'inscrivant dans un cadre plus professionnel. La norme ISO 177-999, par exemple, fournit aux entreprises une méthode d'évaluation des risques, qui leur permet de se jauger par rapport à un référentiel international commun.

Au final, on s'aperçoit que ce sont les mêmes méthodes qui sont utilisées, tant pour la qualité que pour la sécurité : il s'agit de documenter, de s'assurer que ce qui a été décidé est correctement appliqué, et de remonter les dysfonctionnements au plus tôt pour que des actions correctives puissent être entreprises. Et cela tout en s'assurant que le management soit en permanence informé des déviances du système.

De même, les techniques de communication, de documentation, et les tiers documentaires existent en sécurité comme en qualité. De là à considérer la démarche sécurité comme une approche qualité, il n'y a qu'un pas.