 Abonnez-vous aux flux RSS  |
« La sécurité se professionnalise. C'en est fini de l'époque où l'on empilait les technologies, installant un pare-feu par-ci et un antivirus par-là. Aujourd'hui, la sécurité sort de son côté technique pour devenir une préoccupation majeure des directions utilisatrices et des directions générales. » Jean-Marc Grémy, directeur d'Ipelium, un spécialiste de la sécurité et de la mobilité, fait son autocritique et mesure le chemin parcouru depuis les années 1990. A l'époque, le métier voyait défiler des ingénieurs réseaux promus responsables sécurité du jour au lendemain. Les notions métier de probité, de plan de continuité ou de plan de secours, qui incluent à la fois fournisseurs et clients, étaient quasiment inexistantes. Elles seront au coeur des débats la semaine prochaine, lors d'Infosec, le salon référence du secteur.
Internet et l'entreprise étendue changent la donne
Longtemps, la sécurité est restée synonyme de confidentialité. Le réseau étant la propriété de l'entreprise, il suffisait de sécuriser les points de contact avec l'extérieur. L'entreprise s'enfermait alors derrière un mur et verrouillait son périmètre à coups de pare-feu et de modems chiffrants. Depuis l'avènement d'internet et le développement du concept d'entreprise étendue, ce modèle vole en éclats. « On commence par ouvrir des portes pour les télétravailleurs et les itinérants ou pour les accès sans fil. Puis on se rend compte que, pour travailler en flux tendu, il faut en plus s'interconnecter aux PGI des clients et des fournisseurs, et donc considérer le réseau des partenaires comme une extension de celui de l'entreprise. Au final, c'est le système d'information tout entier qu'il faut considérer comme public », observe François Renault, associé chez Deloitte & Touche Sécurité.
Du coup, il faut trouver de nouveaux moyens de sécuriser le réseau. Plus question de se contenter de verrouiller la périphérie, ni de laisser chaque application gérer ses propres utilisateurs, avec ses identifiants, ses mots de passe et ses droits. Cela deviendrait rapidement ingérable avec des centaines d'applications et la complexité croissante des systèmes d'information et des PGI interconnectés. « Il devient donc essentiel de passer d'une gestion des identifiants à une gestion des identités numériques, qui, elle, va transcender les entreprises, explique François Renault. Cela conduit à des problèmes organisationnels. Parce que, derrière la gestion des identités numériques, il faut des annuaires partagés et des certificats reconnus d'une entreprise à l'autre. Les enjeux sont colossaux. »
On est donc loin du paramétrage, du pare-feu, et de l'antivirus. La sécurité s'inscrit maintenant dans une logique de processus métier : on se demande désormais comment sécuriser les étapes d'une commande, comment garantir la confidentialité entre tel et tel point, ou comment avoir la preuve d'une correspondance entre tel et tel acteur. La réflexion se situe donc davantage dans l'échange que dans l'infrastructure serveur, réseau, proxy, etc.
L'Etat montre la voie avec Télé-TVA et Télé-IR
Dans le même temps, le métier évolue. Après les ingénieurs très pointus techniquement, les profils les plus recherchés sont ceux qui savent prendre du recul et adopter une démarche globale. « Nous ne nous adressons plus uniquement à des responsables réseaux, remarque Jean-Marc Grémy, d'Ipelium. Nos interlocuteurs sont aujourd'hui les directions générales, les directions financières, voire des directions marketing qui se rendent compte qu'apporter de la confiance à leurs clients par la sécurité peut apporter un avantage concurrentiel. »
Si cette évolution est si forte, c'est aussi parce que l'écosystème a changé. La prolifération de l'offre a, tout d'abord, entraîné une baisse drastique des coûts. Il y a peu, le ticket d'entrée d'une architecture à clés publiques était exorbitant surtout quand elle servait uniquement à gérer des mots de passe. Or, non seulement l'offre est devenue abordable, mais des applications justifiant les projets se multiplient aussi notamment pour la dématérialisation et la signature électronique. La facture est ainsi un axe important de la dématérialisation dans les entreprises. Les économies peuvent s'avérer énormes... Ne serait ce qu'en termes de papier.
L'Etat aura été le premier à montrer la voie avec les télédéclarations de la TVA et de l'impôt sur le revenu (Télé-TVA et Télé-IR). Ces applications ont non seulement sensibilisé les entreprises à la notion d'identité numérique, mais elles ont aussi contribué à développer le marché français de la certification et des tiers de confiance. « En référençant une famille de certificats que les entreprises peuvent acheter pour signer leur déclaration, le ministère des Finances a fini par créer le premier référentiel de sécurité en France », se réjouit Christopher Norman, associé chez Deloitte & Touche. Les certificats de Télé-TVA sont ainsi devenus la norme pour tout ce qui concerne les échanges interentreprises. Certains acteurs, comme Certimonics, n'hésitent d'ailleurs pas à utiliser leur référencement Télé-TVA comme argument commercial.
Enfin, signe de maturité, la sécurité s'est entourée d'une batterie de normes, qui facilitent la mise en oeuvre de méthodes et de solutions, tout en l'inscrivant dans un cadre plus professionnel. La norme ISO 177-999, par exemple, fournit aux entreprises une méthode d'évaluation des risques, qui leur permet de se jauger par rapport à un référentiel international commun.
Au final, on s'aperçoit que ce sont les mêmes méthodes qui sont utilisées, tant pour la qualité que pour la sécurité : il s'agit de documenter, de s'assurer que ce qui a été décidé est correctement appliqué, et de remonter les dysfonctionnements au plus tôt pour que des actions correctives puissent être entreprises. Et cela tout en s'assurant que le management soit en permanence informé des déviances du système.
De même, les techniques de communication, de documentation, et les tiers documentaires existent en sécurité comme en qualité. De là à considérer la démarche sécurité comme une approche qualité, il n'y a qu'un pas.
La place du responsable sécurité est loin d'être claire dans les entreprises. Certains sont rattachés à la direction générale, d'autres à l'informatique, d'autres aux directions utilisatrices, quand d'autres encore sont
directement opérationnels, avec un rôle transverse. Avec une évolution de la sécurité qui se veut plus proche des préoccupations métier, certaines positions deviennent difficiles à tenir. Notamment celle, schizophrène, où le responsable sécurité est
à la fois maîtrise d'oeuvre et d'ouvrage : soit il est trop loin de l'informatique, et il ne maîtrise plus rien ; soit il est trop loin des utilisateurs, et il se contente de mettre en oeuvre ce qu'on lui demande, sans pouvoir garantir une
quelconque homogénéité.
Une tendance se dessine actuellement au travers d'un partage des responsabilités entre deux interlocuteurs : l'un pour la maîtrise d'oeuvre, et l'autre pour la maîtrise d'ouvrage. Une sécurité informatique bicéphale, en quelque
sorte, avec un responsable de la sécurité informatique (RSI) et un responsable de la sécurité des systèmes d'information (RSSI). A la manière du tandem DI/DSI. Le premier aura un rôle de conseil, d'aiguillon de la direction générale et des
directions utilisatrices. Il sera garant de l'homogénéité grâce à sa vision globale. Le second sera plus proche de l'informatique, disposant d'un savoir-faire et d'une parfaite connaissance des processus et des systèmes d'information.
« Une telle organisation ne peut néanmoins fonctionner qu'avec deux personnes qui s'apprécient et se comprennent en tant qu'hommes de l'art »,
prévient Serge Saghroune, vice-président du Clusif
et directeur du département sécurité informatique du groupe Accor. Il ne faudrait pas, en effet, que des conflits d'orgueil l'un s'estimant supérieur à l'autre viennent perturber leur mission.
| Suite de l'article | ||
 |
Standardisation : un chapelet de normes pour le système d'information | |
|
« Bien connaître les systèmes d'information » | |
|
||||||
|
|
|
Question d'argent
 |
|
 |
|
 conversation high-tech Jog the Web : faites du Net un diaporama |
 marché Les entrepreneurs du Web se tournent vers Israël |
 conversation high-tech Voxmobili : synchroniser son mobile avec le Web |
|
||||
 |
||||
 |
Pour retrouver toute l'actualité des collectivités locales Cliquez ici
|
 |
 |
||
 |
|
 L'actualité des .com, des .fr,des .biz... chroniquée par Jean-François Poussard (MailClub) Cette semaine : A quoi servira le .tel ?
|
|
||
 |
|
 |
 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Semaine du 1er au 7 octobre 2008
Le grand calme Que ce soit en environnement haute-disponibilité ou sur serveurs dédiés, la semaine a été particulièrement calme pour les hébergeurs. Environnement haute-disponibilité
Serveurs dédiés
01net.com, en partenariat avec  , mesure chaque semaine les performances des hébergeurs |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
 |
|
Pour retrouver tout le test des opérateurs ToIPCliquez ici
|
|
 |
 |
| Deuxième édition des trophées 01 Informatique |
 |
|
| Abonnez-vous gratuitement ! | |
|
|
|
 |
|
 |
Une attaque affecterait 80 000 sites Web, selon un expert en sécurité |
 |
|
|
Le nouvel Internet à construire est l'Internet des objets |
|
|
|
AMD devient un fondeur sans usines |
|
|
|
IBM met en ligne messagerie, agenda, espace de travail et réseau social |
|
|
|
Mono 2.0 : les applications .NET s’ouvrent à Linux |
|
|
| > tout le classement |
|
 |
|
François Enaud (Steria) : « Les salariés sont les premiers actionnaires du groupe »Keyyo casse les prix de la téléphonie sur IPUne école de management publie gratuitement ses cours sur Internet
|
|
écrire à l'auteur
imprimer
envoyer par mail
