Gérome Billois, Solucom : Du château fort à l’aéroport, l’évolution des modèles de sécurité
décembre 2008 par Marc Jacob
Aujourd’hui le système d’information des grandes entreprises repose sur une protection périmétrique qui sépare un réseau qualifié d’ « interne » (réseau locaux, réseau WAN) avec des réseaux externes (partenaires métiers, infogérant, nomades…).
La confiance provient de l’existence d’une muraille « imparable » : le pare-feu. D’autres mécanismes de sécurité sont venus s’ajouter au fil des années dans le but de renforcer la « muraille » : reverse proxy, détection d’intrusion ou encore filtrage d’URL. Les besoins d’échanges avec les partenaires ont également amené la création de zones spécifiques isolant les systèmes partagés avec l’extérieur, les DMZ.
L’analogie avec le château fort est criante : toute personne à l’intérieur de la muraille est considérée de confiance ; toute personne extérieure est considérée suspecte. Mais cette différenciation a bien souvent conduit à la chute de nombreuses forteresses : un intrus une fois à l’intérieur ne peut pas être détecté et dispose donc d’un large champ d’action…
Une nouvelle orientation pour répondre à l’évolution des besoins : le modèle de l’aéroport
Mais les dernières années ont montré que la muraille de ce château-fort est bien souvent difficile à matérialiser : postes nomades naviguant entre plusieurs réseaux, visiteurs, joint-venture…
Et surtout ce concept de muraille ne répond plus aux besoins d’ouverture et de souplesse exprimés à tous les niveaux de l’entreprise (métier, DSI, utilisateur). Il faut plus de mobilité, rationaliser les coûts, ouvrir le réseau vers des partenaires métier (accès aux applications internes, SOA…) et SI (infogérant, développement off-shore…).
Afin de répondre à ces besoins, en particulier l’ouverture pour les partenaires et les employés, tout en garantissant un niveau de sécurité approprié, il faut adopter un nouveau modèle de sécurité.
Ce nouveau modèle repose sur des principes simples, ceux mis en oeuvre dans les aéroports :
– L’accès est ouvert à tous, qu’il soit interne ou externe : voyageurs, employés, membres de compagnies aériennes…
– Le niveau de contrôle est proportionnel aux ressources accédées. Par exemple, la piste et les avions sont particulièrement contrôlés. Le hall d’accueil l’est moins mais reste sous surveillance.
L’objet du modèle aéroportuaire est bien de faciliter l’accès initial et l’utilisation des ressources pour toutes les personnes autorisées quelles qu’elles soient, sans faire de distinction entre « l’interne » et « l’externe ».
Ce modèle correspond à l’évolution des usages du système
d’information et permet d’autoriser les besoins évoqués précédemment mais attention il nécessite de repenser la sécurité de son système d’information et d’adopter les principes suivants :
– Protéger l’information au plus près et positionner les mesures de sécurité en fonction des enjeux métiers : création de bulles de sécurité autour des applications, mise en place de sécurité sur les données…
– Augmenter la sécurité des infrastructures internes pour ne pas craindre l’arrivée de flux ou de personnes externes dans le périmètre de l’organisation : garantir la disponibilité du réseau d’interconnexion en nettoyant le trafic (IPS, contrôle d’accès réseau)… et surtout ne plus segmenter à outrance son réseau interne.
– Rationaliser la protection périmétrique pour simplifier l’accès au système d’information : définition d’offre de service, rationalisation des moyens de protection…
La mise en œuvre de ces principes devient aujourd’hui une obligation pour accompagner l’évolution des besoins métiers. Ce mouvement est déjà anticipé par les principaux acteurs du marché et les solutions techniques existent. Les premières mises en œuvre concrètes ont été réalisées et donnent aujourd’hui des résultats satisfaisants en répondant aux attentes des métiers.
Mais ce modèle résistera-t-il aux évolutions fondamentales entraînant même la disparation de la notion de réseau interne appartenant à l’entreprise, en particulier avec l’arrivée des services « in the cloud » ?
Articles connexes:
- Gérôme Billois, Solucom Group : Décentraliser les accès Internet, une stratégie gagnante ?
- Eric Doyen et Hervé Schauer, Club 27001 : une démarche pragmatique des normes
- Edouard Jeanson, Sogeti : Les password managers, Sésame ouvre-toi !
- Christophe Maira, Devoteam Consulting : Homogénéiser la sécurité des Systèmes d’Information, une question de méthode ?
- Scanners de vulnérabilité : une nécessité, mais le test d’intrusion humain est irremplaçable
- Jean-Marc Rietsch, FedISA : Dématérialisation et archivage électronique
- Sébastien Roman, ITekia : La gestion des risques IT peut-elle se faire sans les départements métiers ?
- Edouard Jeanson, Sogeti : quelques conseils de sécurisation d’Exchange 2007
- Thierry Jardin, Logica Management Consulting : Contrôle interne et SMSI
- Tristan Savalle, Solucom : La maîtrise des risques, nouveau cheval de bataille des RSSI
- Gérôme Billois, Solucom : Bilan de la journée ISO 27001 organisé par le Club 27001
- Edouard Jeanson, Sogeti : La Certification de Sécurité de Premier Niveau (CSPN), la bouffée d’air de la SSI basée sur le pragmatisme
- Edouard Jeanson, Sogeti : Le cryptage des laptops avec Biltocker Drive Encryption
- Guillaume Durand, Solucom group : Sensibilisation à la sécurité de l’information : traiter le « maillon faible »
- Biométrie « sans traces » : une nouvelle génération de techniques biométriques
- Gérôme Billois Solucom Group : ISO 27001 : l’arme anti-crise du RSSI
- Gérôme Billois, SoluCom : La confiance mutuelle, un nouveau modèle de sécurité ?