« La sécurité de l'information est un sujet très important pour le futur d'EMC », a déclaré Joe Tucci, PDG du géant du stockage, à l'occasion de sa convention annuelle. Il a donné le ton du nouvel aspect de la stratégie de gestion du cycle de vie des documents d'EMC. L'idée n'est plus seulement de protéger l'information - par des technologies de sauvegarde, de restauration, de duplication -, mais aussi de contrôler l'utilisation qui en est faite. D'où la nécessité de compléter son offre logicielle par des solutions de sécurité.

EMC n'est pas allé chercher bien loin la première brique de son offre de sécurité. La société exhume une technologie vieille de 16 ans, le Digital Rights Management, ou gestion des droits numériques. Dans le domaine des oeuvres digitales, elle sert à contrôler l'utilisation, la duplication et la diffusion - redistribution incluse - de fichiers (musique et vidéo).

Appliqué au cycle de vie des documents, cela donne une plate-forme de gestion des droits d'accès pour les données non structurées, baptisée EMC Documentum Digital Rights Management. Elle repose sur la technologie d'Authentica, société acquise en février, et sur son produit phare Active Rights Management. Lequel partageait déjà ses capacités de contrôle d'accès avec la solution de gestion de contenu de Documentum, avec celle de Hummingbird, et avec Sharepoint, de Microsoft.

Le principe est celui, classique, de toute gestion de droits numériques, telle qu'elle existe dans le domaine desoeuvres digitales. Les autorisations d'accès et de traitement de l'information sont directement encapsulées et chiffrées avec les données. Une gestion centralisée des droits détermine les permissions de chaque utilisateur sur chaque document.

Dès lors, l'entreprise contrôle toute utilisation de ses informations et conserve un audit permanent de qui accède à quoi et quand. Les documents Office, les fichiers PDF et les e-mails sont ainsi gérés par cette solution. EMC reste évasif sur la méthode d'encapsulation des documents. Dans l'entreprise, le système peut être appliqué pour restreindre la diffusion d'informations sensibles. Reste à savoir comment un document peut s'échanger avec des tiers non équipés de la solution. Et dans quelle mesure celle-ci fonctionne en mode non connecté, sans lien avec un serveur de gestion des droits.

Autre solution dévoilée par EMC : un service d'audit de sécurité des données. Nommé Assessment Service Storage Security, il a pour but de passer en revue les configurations des entreprises sur les produits et matériels d'EMC. Avec sa méthodologie empruntée à la National Security Agency, cet audit vise à fournir des préconisations utilisables tant « par les équipes du stockage que par celles de la sécurité afin qu'elles travaillent de concert », selon Dennis Hoffman.

Le vice-president Information Security d'EMC, appointé à ce poste créé en 2005, précise que ces deux offres ne sont que des premières étapes. « Nous avons débuté un programme d'intégration de la sécurité dans toutes nos lignes de produits, sous le contrôle trimestriel direct de Joe Tucci. » En 2006, 120 millions de dollars seront consacrés à la R&D en sécurité, ce qui représente 10 % du budget global d'EMC.