Actu
Gérôme Billois, SoluCom : 2010 – 2011 : De la protection des infrastructures à la protection des données !
décembre 2010 par Gérôme Billois – Manager – Practice Sécurité
2010 a été une année riche en évènements pour la sécurité ! Des incidents emblématiques ont défrayé la chronique. Deux cas resteront particulièrement en mémoire : Stuxnet, premier virus visant de manière ciblée des infrastructures industrielles, Wikileaks et la fuite de données gigantesque qui a touché les Etats-Unis. 2010 a également été l’année où de nouveaux usages ont bousculé nos habitudes : la virtualisation maintenant définitivement entrée dans les centres de production, le cloud computing qui fait ses premières armes sur des projets concrets ou encore les smartphones et autres tablettes qui ont connu leurs premiers déploiements avec des usages innovants d’utilisation d’équipements personnels.
L’ensemble de ces évènements a montré tout au long de l’année la limite des approches sécurité actuelles. Celles-ci sont basées avant tout sur une protection de l’infrastructure du SI. Nous ajoutons petit à petit des mécanismes de sécurité aux différentes briques que sont le poste de travail, le réseau d’entreprise, l’accès internet, voir le datacenter. Mais cette approche ne permet plus de répondre aux nouveaux enjeux. En effet, l’information est de moins en moins traitée sur les infrastructures de l’organisation ! Elle est de plus en plus partagée, avec des partenaires et des clients, accessible depuis des équipements mobiles voir personnels, parfois encore traitées sur des systèmes aux contours plus ou moins connus comme dans le cadre du cloud computing.
Une nouvelle stratégie de réponse doit être envisagée face à ces évolutions, une stratégie qui devra être basée sur un principe simple : protéger au plus près les informations les plus sensibles.
En effet, pour être efficace et pérenne, la sécurité doit se rapprocher de l’information, voire être portée par l’information elle-même, pour pouvoir être mieux partagée tout en étant toujours sécurisée. Ceci nécessite de planifier des chantiers ambitieux, liés par exemple à l’identification et à la classification des informations les plus sensibles, à la mise en place de mécanismes de protection des données (chiffrement, droit numérique avancé…) ou encore à l’inclusion des mesures de sécurité dans les applications (chiffrement, scellement, authentification, processus projet…). Bien entendu, les fondamentaux de la gestion des identités jouent un rôle essentiel et devront être encore renforcés pour y ajouter la gestion des partenaires et des clients. Mais il faudra aussi faire évoluer les habitudes, en portant une attention particulière aux équipes en charge des applications au cœur de cette nouvelle problématique de protection.
L’objectif pour 2011 est bien de faire évoluer nos principes pour aller de la protection de l’infrastructure à une vraie protection des données. Voici une année qui s’annonce donc riche en projets et en challenges !
