Bernard Ourghanlian a dressé un rapidement panorama des problèmes de sécurité basés sur l’empilement de couches de sécurité de plus en plus nombreuses et donc difficiles à gérer. Cette situation est due à la dégradation de la sécurité du fait de l’augmentation du nombre d’attaques malveillantes et, dans le même temps, au besoin de connexion des utilisateurs de plus en plus mobiles.

Partant de ce constat, Microsoft propose de « re-périmètrer » la sécurité en partant du principe qu’il est plus facile de protéger en se rapprochant des données. Cette vision ne remet pas en cause les outils de sécurité (firewall, antivirus…) actuels mais déplace leur positionnement. En effet, Microsoft propose d’utiliser la sécurité embarquée dans le hardware en se reposant sur le TPM (Trust Platform Model) inclus sur les cartes mère de tous les PC et serveurs. Ceci permettrait de créer un hardware de confiance car un soft ne peut en protéger un autre. De proche en proche, on pourra ainsi mettre en place des softwares de confiance en utilisant des signatures. Bien entendu, dans cette chaîne, le seul maillon faible resterait l’utilisateur. Ces derniers pour manipuler des données dites de confiance devront par un système de droits associés prouver leur identité. Toutefois, la confidentialité des transactions pourra continuer d’exister afin de préserver le principe de vie privée.

Ce besoin de sécurité est d’autant plus pressant que le Jericho Forum* (www.jerichoforum.org), un consortium entres autres d’établissements bancaires, travaille sur la possibilité d’avoir recours à l’Internet, sous réserve du déploiement de solutions de sécurités éprouvées, pour effectuer les transactions en remplacement des réseaux privés.

Pour un RSSI, ce principe ne fait que déplacer la sécurité du software vers le hardware. Effectivement, reprend Bernard Ourghanlian, mais le piratage du hardware est aujourd’hui techniquement difficile mais surtout très couteux, et ne pourrait être réalisé que par un Etat.

Un autre RSSI pose la question de l’application des patchs. Selon Bernard Ourghanlian, la signature des logiciels devrait permettre la provenance des logiciels et garantir la traçabilité de l’ensemble des composants logiciels. Mais reprend un troisième la signature des logiciels, n’annoncent-elle pas la fin de l’Open Source ?
La question reste posée, même s’il est aussi possible de certifier des logiciels issus du monde libre…

* Le Jericho Forum a été créé en 2003 à partir de discussions informelles entre RSSI. Cette association compte aujourd’hui des clients et des fournisseurs, des organisations gouvernementales des 5 continents.