18 Mars 2010
La lettre de novembre 2009
- [SPÉCIAL SÉCURITÉ] La sécurité du SI se fait à moindre coût et sans complexes
- [SPÉCIAL SÉCURITÉ] Le casse-tête des RSSI
- [SPÉCIAL SÉCURITÉ - AVIS D'EXPERT] L'usurpation d'identité numérique devient une nouvelle infraction
- [AVIS D’EXPERT] La nécessaire mise à niveau des systèmes de paiements actuels
- [UTILISATEURS] Cegid prend le cap du secteur de la distribution
- [E-ADMINISTRATION] Décoder les enjeux de la dématérialisation des processus
- [SERVICES] Quelsoft compare plus de 2000 progiciels et trouve les meilleurs prestataires informatique
- [SAVOIRS] A chacun son clavier
- [PROFIL] Ils changent de poste en octobre 2009
- [MEILLEURE PRATIQUE] Canelle Lingerie teste ses applications Retail
- [MEILLEURE PRATIQUE] La MAE garde le contact e-mail avec ses adhérents
- [MEILLEURE PRATIQUE] L'INA fait face aux pics de connexion
- [MEILLEURE PRATIQUE] JM Bruneau prépare ses commandes avec du vocal
- [MEILLEURE PRATIQUE] Le CHU de Grenoble déploie une solution de communications unifiées
Archives
|
|
[SPÉCIAL SÉCURITÉ] Le casse-tête des RSSI
Editorial - la lettre de novembre 2009
ENTRE LE CHATEAU-FORT ET LE COFFRE-FORT LA PROTECTION DES DONNEES SENSIBLES EST EN TRAIN DE CHANGER. La sécurité est la seconde préoccupation des DSI (16%) juste après la réduction des coûts (22%). Pourtant, les investissements ont du mal à reprendre, même si la priorité est donnée à la protection des données sensibles. Une triple évolution prend les RSSI au dépourvu et les dernières Assises de la Sécurité ont mis en avant ce phénomène.
Par Dominique Moisand, Guide Informatique
Par Dominique Moisand, Guide Informatique
Il était une fois un Châtelain qui pensait que douves et murailles constituaient une protection assez efficace dès lors que le contrôle du pont-levis était assuré. Voilà à quoi ressemblent nos systèmes de sécurité « périmétriques » : enceintes et contrôles d’accès. Avec le donjon, on inventait la double enceinte. Mais tout cela a volé en éclats avec l’irruption de la ville. Heureusement, les coffres-forts ont fait leur apparition bien avant cette période de sédentarisation, permettant de raisonner à l’inverse en se posant la question : que protéger d’essentiel ?
Dans notre univers numérique, l’évolution est inverse. Les entreprises ont commencé avec une mentalité de sédentaire. Pendant 30 ans, la localisation géographique immuable des infrastructures, des stockages de données et du personnel a fait choisir des principes sécuritaires calqués sur le château fort. Les débats tenus lors des Assises de la sécurité 2009, à Monaco, ont mis en avant ce phénomène. Une triple évolution prend désormais les RSSI au dépourvu :
• les contraintes technico-économiques, et sécuritaires (PRA, PCA), multiplient les environnements à contrôler (Cloud computing, externalisation des serveurs), et les réseaux d’accès,
• le recours aux services les prive de la maîtrise, de bout en bout, de leurs systèmes d’information, au profit d’une logique d’optimisation économique,
• les salariés deviennent des nomades, à la fois au plan géographique et au plan symbolique de l’appartenance à l’entreprise (réseaux sociaux, abolition des frontières privé/public, Web 2.0).
Nous avons quitté un monde fait de stabilité et de certitudes et cherchons désespérément à garder le contrôle au travers de l’adoption de normes et standards. La question se déplace vers la « conformité » aux standards et règles. Les événements récents montrent que cette approche est insuffisante à régler les questions de sécurité.
Durant les deux dernières années, des éditeurs come McAfee, Trend Micro et Symantec ont poussé un produit prometteur appelé Data loss protection (DLP). Certains éditeurs plus connus pour leurs antispam ou antivirus leur ont emboîté le pas, comme Clearswift. Les éditeurs font grand cas de ces prétendus nouveaux logiciels qui, selon Eric Domage, Directeur des Études et du Conseil Sécurité d’IDC, « ne sont pas des nouvelles technologies mais s’appuient sur des moteurs de découvertes connus pour classifier l’information, du cryptage ou du contrôle de réseau ». Simplement quelques éditeurs ont su les packager avec une longueur d’avance.
Il est manifeste que la réponse à la désillusion de la protection « périmétrique » est prête. Voyons ce qu’elle comporte :
• La protection des données contre les divulgations accidentelles, c’est par exemple le fait d’employés qui tout simplement n’ont pas conscience de l’exposition qu’ils donnent à des informations sensibles lorsqu’ils utilisent Internet. Le DLP permet de marquer l’information sensible pour ne pas la faire circuler en clair sur Internet.
• La protection des données contre les agissements délictueux (internes ou externes) car les actions malveillantes restent le fait d’employés. Il s’agit surtout de vol d’informations. Le DLP peut être un moyen de réduire le nombre de canaux par lesquels les employés peuvent transmettre des fichiers. Ainsi par exemple, les transferts sur clé USB ou sur disque dur externe peuvent être surveillés, voire interdits.
• La conformité aux standards et aux règlementaires car beaucoup d’entreprises sont amenées à prouver cette conformité (SOX, BALE II, CNIL, ISO, etc.) La technologie DLP semble pouvoir jouer un rôle majeur dans le pilotage de l’implémentation, en mesurant les écarts entre la réalité observée et le règlementaire visé. Pour certains experts, plus de 80% de l’information stockée n’est pas gérée. On pourrait aussi se demander quel serait le prix à payer pour identifier toutes les informations au regard de la sécurité.
Quand les DSI estiment que l’investissement en sécurité est leur seconde préoccupation (16%) après la réduction des coûts (22%), alors que les préoccupations de conformité arrivent en dernier (source IDC), s’agit-il toujours d’investissement informatique ? La fuite en avant technologique est-elle la réponse adaptée ? Pour répondre à la question de savoir ce que l’on veut vraiment protéger, il faut répertorier les données qui devraient rester strictement confinées à leurs destinataires ou propriétaires.
Le DLP suppose un inventaire des données au regard de leur degré de confidentialité. Tout cela suppose un travail en amont considérable à tous les niveaux hiérarchiques et une capacité à trouver un « accommodement raisonnable » qui évite la systématisation.
Car la menace est réelle. A trop vouloir protéger, on risque de créer des obstacles au fonctionnement quotidien de l’entreprise. Prenons le cas des codes de carte de crédit. Interdire de les utiliser pour protéger les données des clients peut aboutir à empêcher aux employés l’utilisation de leur carte personnelle pour des achats en ligne (billets d’avion, etc.). Ce genre de risque est courant et peut mener à des blocages graves. Comme le dit Isabelle Tisserand dans le domaine de la santé, on peut arriver à des antinomies graves. Faut-il mettre en danger un patient en sécurisant trop ses données personnelles? Opposer innocuité et confidentialité, c’est dire que les données doivent être transmises au personnel soignant, sous peine de prendre un risque, là où d’autres pourraient vouloir taire certaines maladies.
Nous sommes loin des investissements technologiques. Il faut se préparer à accompagner la démarche par une véritable éducation. Certes, les entreprises ont la conviction d’avoir défini et diffusé des règles. Le management en est le premier relais et tout le monde doit être impliqué. La question est plutôt posée en termes d’évolution de ce dispositif face à l’arrivée de nouvelles populations et nouvelles technologies. Peut-on interdire la lecture des mails personnels ? Interdire Facebook en entreprise ? A peines posées, ces questions sont tranchées, au moins pour la majorité des employés ayant accès à Internet, l’interdit ne résiste pas longtemps à l’évolution rapide des usages !
Serge Tisseron, psychanalyste spécialisé dans les problématiques liées aux TIC chez les adolescents et les enfants explique que ce qui commence, et va se généraliser, est un vrai bouleversement. La génération qui arrive sur le marché du travail a un rapport au monde différent, que ce soit dans l’apprentissage, les liens sociaux , l’innovation, etc. Une étude menée auprès des DRH annonce cette révolution à partir de 2012. Il faudra en tenir compte pour consacrer une bonne part de l’investissement en sécurité dans la communication et la conduite du changement.
Dans ce contexte, la flexibilité et la créativité des cellules de risk management travaillant étroitement avec les parties prenantes concernées sont les seules possibilités d’éviter que les investissements d’aujourd’hui ne soient une « ligne Maginot » demain.
Dans notre univers numérique, l’évolution est inverse. Les entreprises ont commencé avec une mentalité de sédentaire. Pendant 30 ans, la localisation géographique immuable des infrastructures, des stockages de données et du personnel a fait choisir des principes sécuritaires calqués sur le château fort. Les débats tenus lors des Assises de la sécurité 2009, à Monaco, ont mis en avant ce phénomène. Une triple évolution prend désormais les RSSI au dépourvu :
• les contraintes technico-économiques, et sécuritaires (PRA, PCA), multiplient les environnements à contrôler (Cloud computing, externalisation des serveurs), et les réseaux d’accès,
• le recours aux services les prive de la maîtrise, de bout en bout, de leurs systèmes d’information, au profit d’une logique d’optimisation économique,
• les salariés deviennent des nomades, à la fois au plan géographique et au plan symbolique de l’appartenance à l’entreprise (réseaux sociaux, abolition des frontières privé/public, Web 2.0).
Nous avons quitté un monde fait de stabilité et de certitudes et cherchons désespérément à garder le contrôle au travers de l’adoption de normes et standards. La question se déplace vers la « conformité » aux standards et règles. Les événements récents montrent que cette approche est insuffisante à régler les questions de sécurité.
Identifier toutes les informations au regard de la sécurité
Durant les deux dernières années, des éditeurs come McAfee, Trend Micro et Symantec ont poussé un produit prometteur appelé Data loss protection (DLP). Certains éditeurs plus connus pour leurs antispam ou antivirus leur ont emboîté le pas, comme Clearswift. Les éditeurs font grand cas de ces prétendus nouveaux logiciels qui, selon Eric Domage, Directeur des Études et du Conseil Sécurité d’IDC, « ne sont pas des nouvelles technologies mais s’appuient sur des moteurs de découvertes connus pour classifier l’information, du cryptage ou du contrôle de réseau ». Simplement quelques éditeurs ont su les packager avec une longueur d’avance.
Il est manifeste que la réponse à la désillusion de la protection « périmétrique » est prête. Voyons ce qu’elle comporte :
• La protection des données contre les divulgations accidentelles, c’est par exemple le fait d’employés qui tout simplement n’ont pas conscience de l’exposition qu’ils donnent à des informations sensibles lorsqu’ils utilisent Internet. Le DLP permet de marquer l’information sensible pour ne pas la faire circuler en clair sur Internet.
• La protection des données contre les agissements délictueux (internes ou externes) car les actions malveillantes restent le fait d’employés. Il s’agit surtout de vol d’informations. Le DLP peut être un moyen de réduire le nombre de canaux par lesquels les employés peuvent transmettre des fichiers. Ainsi par exemple, les transferts sur clé USB ou sur disque dur externe peuvent être surveillés, voire interdits.
• La conformité aux standards et aux règlementaires car beaucoup d’entreprises sont amenées à prouver cette conformité (SOX, BALE II, CNIL, ISO, etc.) La technologie DLP semble pouvoir jouer un rôle majeur dans le pilotage de l’implémentation, en mesurant les écarts entre la réalité observée et le règlementaire visé. Pour certains experts, plus de 80% de l’information stockée n’est pas gérée. On pourrait aussi se demander quel serait le prix à payer pour identifier toutes les informations au regard de la sécurité.
A trop vouloir protéger, on risque de créer des obstacles
Quand les DSI estiment que l’investissement en sécurité est leur seconde préoccupation (16%) après la réduction des coûts (22%), alors que les préoccupations de conformité arrivent en dernier (source IDC), s’agit-il toujours d’investissement informatique ? La fuite en avant technologique est-elle la réponse adaptée ? Pour répondre à la question de savoir ce que l’on veut vraiment protéger, il faut répertorier les données qui devraient rester strictement confinées à leurs destinataires ou propriétaires.
Le DLP suppose un inventaire des données au regard de leur degré de confidentialité. Tout cela suppose un travail en amont considérable à tous les niveaux hiérarchiques et une capacité à trouver un « accommodement raisonnable » qui évite la systématisation.
Car la menace est réelle. A trop vouloir protéger, on risque de créer des obstacles au fonctionnement quotidien de l’entreprise. Prenons le cas des codes de carte de crédit. Interdire de les utiliser pour protéger les données des clients peut aboutir à empêcher aux employés l’utilisation de leur carte personnelle pour des achats en ligne (billets d’avion, etc.). Ce genre de risque est courant et peut mener à des blocages graves. Comme le dit Isabelle Tisserand dans le domaine de la santé, on peut arriver à des antinomies graves. Faut-il mettre en danger un patient en sécurisant trop ses données personnelles? Opposer innocuité et confidentialité, c’est dire que les données doivent être transmises au personnel soignant, sous peine de prendre un risque, là où d’autres pourraient vouloir taire certaines maladies.
Le syndrome de la « ligne Maginot »
Nous sommes loin des investissements technologiques. Il faut se préparer à accompagner la démarche par une véritable éducation. Certes, les entreprises ont la conviction d’avoir défini et diffusé des règles. Le management en est le premier relais et tout le monde doit être impliqué. La question est plutôt posée en termes d’évolution de ce dispositif face à l’arrivée de nouvelles populations et nouvelles technologies. Peut-on interdire la lecture des mails personnels ? Interdire Facebook en entreprise ? A peines posées, ces questions sont tranchées, au moins pour la majorité des employés ayant accès à Internet, l’interdit ne résiste pas longtemps à l’évolution rapide des usages !
Serge Tisseron, psychanalyste spécialisé dans les problématiques liées aux TIC chez les adolescents et les enfants explique que ce qui commence, et va se généraliser, est un vrai bouleversement. La génération qui arrive sur le marché du travail a un rapport au monde différent, que ce soit dans l’apprentissage, les liens sociaux , l’innovation, etc. Une étude menée auprès des DRH annonce cette révolution à partir de 2012. Il faudra en tenir compte pour consacrer une bonne part de l’investissement en sécurité dans la communication et la conduite du changement.
Dans ce contexte, la flexibilité et la créativité des cellules de risk management travaillant étroitement avec les parties prenantes concernées sont les seules possibilités d’éviter que les investissements d’aujourd’hui ne soient une « ligne Maginot » demain.
Trouver un prestataire
Pour aller plus loin
Les dossiers
Les livres
Forum
- Les domaines de la sécurité de l'information
- La sécurité et l'aspect managérial
- Fonction d'une norme
- L'aspect managérial de la norme
- Le plan de traitement des risques
Vous voulez avoir l'avis d'un expert sur ce sujet ?
Toute l'actu sur ce sujet
-
Les dépenses informatiques de l'Etat vont augmenter en 2009
01Net
22 Décembre 2008
-
Spécial Sécurité - Vol d'identité en Europe : plus noir que prévu
Le Mag IT
22 Décembre 2008
Gouvernance
Document, connaissances, GEDEmploi informatique
Législation
Licences, open source
Politique informatique
Qualité, certification, référentiels
Solutions
BI, décisionnel, SIGBureautique et infographie
Finances, gestion, trésorerie
Gestion commerciale, CRM
Mobilité
Production, logistique, SCM
Solutions globales, ERP
Solutions RH
Technologies
Archivage et sauvegardeHardware
Localisation, traçabilité
Locaux, sécurité physique
Programmation, développement
Réseaux et communications
Sécurité logique, virus et intrusions
Site Internet
Stockage, SAN, NAS
Systèmes et infrastructure
Editorial
ActualitésAgenda
Annuaire
Blogs
Contributeurs
Dictionnaire
Dossiers
Emploi
Forum
Lettre
Libraire