De la confiance périmétrique à la confiance dynamique : une sécurité centrée sur les données

Basée tout d’abord sur la sécurité physique et le contrôle d’accès, la sécurité s’est rapidement centrée sur les infrastructures avec l’arrivée d’internet et les premières connexions entre entreprises. C’est l’émergence du modèle de sécurité dit de « confiance périmétrique » : il s’est reposé dans un premier temps sur un rempart d’équipements comme les antivirus, les pare-feux, puis sur le déploiement de correctifs et une gestion opérationnelle de la sécurité pour tendre vers une véritable gouvernance de la sécurité en gérant les risques et non plus seulement les incidents.

Même si ce modèle de confiance périmétrique a su évoluer en prenant notamment davantage en compte les enjeux métiers, les alignements selon la norme ISO 27001, les boucles d’améliorations continues, les audits et les contrôles permanents, il est aujourd’hui ébranlé.

Avec l’arrivée du cloud computing, des équipements mobiles, le SI s’est éclaté : les informations et leur traitement sortent de plus en plus du périmètre de l’entreprise, les données se multiplient, deviennent plus spécifiques (santé, paiement, données à caractère personnel…) et leur gestion se complexifie sous la multiplication des standards et des règlementations.

Les trois piliers de la confiance périmétrique – identité de l’utilisateur, séparation physique entre réseaux internes et externes, socle d’infrastructure maîtrisé – doivent de fait évoluer pour parvenir à un modèle de « confiance dynamique ». Le contrôle de l’identité de l’utilisateur se voit alors renforcé pour assurer le contrôle d’accès aux informations et afin de détecter les comportements inhabituels. Un socle d’infrastructure conforme et maîtrisé demande que soit contrôlée la conformité des éléments accédant à l’information. L’utilisation de smartphones ou de tablettes personnelles en entreprise, la mobilité, l’outsourcing rendent cette tâche complexe et exigent la création de référentiels de conformité.

Les données et les applications au cœur du futur de la sécurité

Les applications et leurs données vont se trouver exposées à des environnements de plus en plus ouverts et risqués. Elles devront se montrer plus résistantes et surtout embarquer des fonctions de sécurité pour être capables de vérifier l’identité des utilisateurs et de juger de la conformité des infrastructures clients et de l’identité des utilisateurs. Associées aux référentiels de conformité et d’identité, elles devront aussi assurer une traçabilité avancée et détecter les comportements anormaux.

La confiance doit être dynamique, c’est-à-dire évaluée en temps réel lors de l’accès à l’information. Ce nouveau modèle de confiance améliore la flexibilité et la sécurité en autorisant plus d’usages et plus de terminaux clients. De plus, les règles de protection sont basées sur la conformité et l’identité et non plus sur les périmètres des réseaux, et surtout il centre la sécurité sur les données mêmes.

Cette confiance dynamique reste néanmoins un challenge. Même si des initiatives sont appuyées par des organismes internationaux et éditeurs comme Trusted Computing Group ou le Forum Jericho, l’absence de normalisation et la faible maturité des applications nécessitent d’attendre pour envisager de larges déploiements.

Les chantiers prioritaires

Pour tendre dès aujourd’hui vers une confiance dynamique, trois chantiers s’avèrent prioritaires pour à la fois sécuriser les applications et créer la tour de contrôle de la sécurité du SI.

Le nouveau rôle du RSSI et de la DSI

La DSI ne devra plus être un simple constructeur de services mais bien un assembleur de services internes ou externes, garante d’une cohérence globale vis-à-vis des utilisateurs métiers.

Le RSSI demeure un gestionnaire du risque, proche à la fois de la direction et des métiers pour comprendre les enjeux de l’entreprise et ainsi pouvoir justifier les décisions et les budgets à engager. Toujours garant des processus de sécurité, il doit être aussi proactif, réaliste et ouvert pour anticiper les nouveaux usages pour remplir pleinement son nouveau rôle d’offreur de services.