Technologie(s) et société de la connaissance

Comment sortir d’un débat sans issue source d’irritation pour tous les acteurs

La sécurité informatique est devenue un thème lancinant des colloques, revues,  articles et flux RSS qui traitent de la révolution numérique. Il n’est pas de jour où on ne parle de cyber-attaque, de cybercriminalité, de cyber-guerre, de campagne de phishing,  dont on était récemment victimes de célèbres enseignes de télécommunications et d’énergie, d’attaque contre la e-réputation… Se mélangent ainsi sous cette vaste rubrique « sécurité informatique » une série d’informations touchant des natures de délinquance très différentes, qui vont de la banale escroquerie, classique, à la carte bleue ou aux prestations sociales aux opérations de fraude de haut vol et à la déstabilisation d’Etat. On cherche ainsi à se prémunir contre la curiosité présumée des services de sécurité de pays pourtant amis en cherchant à inventer le « made in France » de la localisation des données dans le monde éthéré du « nuage ». S’il y a beaucoup de paranoïa derrière cet inventaire, c’est que l’on cerne mal les menaces dans le monde de l’immatériel et que l’on a beaucoup de difficultés à concevoir une politique de sécurité dont on puisse prévoir l’efficacité, et donc le rapport coût/valeur.

Cette omniprésence du thème sécuritaire génère un climat d’inquiétude diffuse qui perturbe les directions générales, soucieuses de se prémunir face à ces risques nouveaux et mal compris, comme les pouvoirs publics désireux de juguler cette nouvelle délinquance.

Mais face à cette avalanche de mises en garde dramatiques, l’utilisateur manifeste une souveraine indifférence et se rue sans modération vers les nouveaux outils que sont les smartphones et les tablettes dont l’attractivité balaie toutes les inhibitions. On stocke sur son disque dur d’ordinateur portable des documents « confidentiels », on utilise, comme 47% des collaborateurs des entreprises américaines, son iPhone pour accéder partout à ses courriers électroniques professionnels, on néglige de sauvegarder sur un autre support le précieux résultat de son travail, sans compter les petits post-it jaunes collés sur l’écran qui contiennent en clair ses mots de passe.

Face à cette légèreté des comportements, les DSI tentent avec détermination d’opposer une stratégie de sécurité inflexible. Pour cela ils bannissent le libre usage des smartphones, bloquent les sites web, imposent un mot de passe alphanumérique complexe et changé tous les mois, cryptent les disques durs et accumulent sur les PC officiels les couches de sécurité qui en ralentissent le démarrage. Les utilisateurs trouvent dans ces précautions multiples qui ralentissent le travail et brident la liberté d’utiliser le matériel de leur choix  une raison supplémentaire de blâmer l’informatique. On observe des débats curieux. L’ire des utilisateurs agace les directions qui blâment la DSI. Celle-ci se défend derrière l’exécution des décisions de ces mêmes directions générales, alors même qu’elles ne sont  souvent pas les dernières à utiliser des matériels officiellement non autorisés.

La sécurité informatique est donc bien une pomme de discorde et un facteur de tension au sein des entreprises. Elle est perçue comme le frein ultime et aveugle de l’innovation et de la créativité.

Il est clair que ce débat est aujourd’hui dans l’impasse ce qui impose une remise à plat des analyses et des stratégies.

Prendre la mesure de la fragilité de son capital informationnel

Si la sécurité numérique a pris une telle place dans les préoccupations des entreprises, c’est une preuve par défaut que l’information est perçue désormais comme jouant un rôle déterminant dans le capital des entreprises. Si les mesures de sécurité sont mal comprises et mal acceptées c’est que la maturité des politiques et des outils n’ont pas suivi l’extraordinaire vitesse de déploiement des nouveaux objets numériques. Le libre usage de ces outils informationnels, en toutes situations de la vie personnelle et professionnelle, crée un nouvel état de fait, une revendication irrépressible à laquelle les réponses sécuritaires sont inappropriées, inopérantes et jugées comme vexatoires.

Il faut donc réconcilier deux mouvements majeurs : la place nouvelle de l’immatériel dans la valeur des entreprises et l’impérieuse nécessité de laisser à tous les acteurs la possibilité de créer et d’exploiter cette information.

Ce double défi implique une révision des concepts utilisés depuis le début de l’essor de l’informatique. L’information est un flux liquide qui irrigue tous les temps de la vie et qu’il est vain d’endiguer. L’informatique a été conçue initialement pour gérer des flux  stables et identifiés de données formalisées internes aux entreprises, partagées entre des personnes connues et toutes soumises au même type de contrat de travail, avec ses règles, droits d’usage, mots de passe. Cette situation est en passe de devenir minoritaire.  L’informatique doit aujourd’hui faire face à des flux multiples.  Les principes de sécurité doivent permettre d’accéder aisément à des informations internes non structurées, comme la vidéo, de même qu’à des informations structurées externes, tels les échanges de données entre tous les acteurs de l’entreprise étendue. Mais ce qui a pris un essor considérable depuis quelques années, c’est le volume des informations non structurées externes,  avec le torrent des données issues du web, textes, images fixes ou vidéos.  

La situation est devenue complexe pour les responsables de la DSI. Aussi, la réponse fréquente face à cet afflux de données composites est une réponse malthusienne : on cherche désespérément à  limiter les flux et les volumes pour les contrôler avec deux motifs également incompréhensibles pour les utilisateurs, les coûts et la sécurité.

La consumérisation des technologies de l’information mine en effet ces arguments pour des utilisateurs qui chez eux disposent de moyens en libre accès : des téraoctets de stockage, de la bande passante abondante (presque toujours !) et des opérateurs qui autorisent des stockages individuels et des tailles de pièces jointes presque sans limite. Et quand les documents à échanger sont trop lourds, on utilise les outils comme DropBox sans problème… Tout ceci est aujourd’hui à la portée de chacun tant en coût qu’en facilité d’usage. Alors pourquoi les entreprises semblent en décalage constant avec la réalité perçue par les utilisateurs ?

Pour appréhender sérieusement le dossier de la sécurité, et entrer dans une boucle vertueuse de résolution de problème, il faut reposer clairement des questions fondamentales : que doit-on protéger ? quels sont les risques réels ? où sont les « ennemis » ? quelle est l’efficacité des parades ? quel est leur coût ?

La protection du patrimoine informationnel de l’entreprise est un sujet mal exploré car souvent mal posé. Faute de diagnostic fin on applique sans nuance le principe de précaution : tout doit faire l’objet du même degré de protection. Et pour  y parvenir, on impose une protection périmétrique étanche, partant du principe que les « bad guys » sont nécessairement à l’extérieur et que si on leur impose un mur d’enceinte efficace la vie à l’intérieur sera protégée. Cette vision, acceptable dans un monde figé, n’est plus opératoire dans un monde ouvert où précisément les flux internes et externes sont constamment mélangés. La question pratique qui est posée aux nomades est bien d’accéder aux informations des entreprises où ils opèrent comme à celles de leur propre entreprise à partir de l’extérieur. La mobilité des personnes (employés, sous-traitants, partenaires, clients) entraine la nécessité de maitriser ce qui se connecte sur le réseau de l’entreprise, quelle que soit la méthode d’accès. Accéder au web, partager des ressources collaboratives, utiliser des flux vidéo pose constamment des problèmes pratiques frustrant. Or l’entreprise étendue  impose ce mode de fonctionnement. L’efficacité qui en résulte ne peut être compromise par des mesures de sécurité trop générales et trop contraignantes.

Il faut donc organiser cet accès en gérant la qualité du service fourni comme la maîtrise de la sécurité à chaque étape et pour chaque usage.

La protection des données sensibles suppose une bonne compréhension par tous du caractère réellement sensible des informations manipulées par les entreprises. Ce travail d’identification valide les précautions prises et les renforce. Il permet une sélectivité des mesures et une meilleure acceptation collective. Il permet également de mettre en rapport le risque et le coût de la protection.

La cartographie des applications sensibles est également une base précieuse d’informations pour le pilotage de la gestion informatique. Il ne s’agit plus alors de protéger contre le risque de disparition ou d’exploitation frauduleuse des données mais, simplement, de permettre à l’entreprise d’exploiter sans rupture l’activité qui va générer ses flux économiques. Par exemple on constatera sans grande surprise que les applications prioritaires sont celles qui assurent la facturation et la gestion de trésorerie. Ce qu’il faut protéger dans l’entreprise c’est ce qui menace son activité courante comme son image. Il faut protéger la valeur de l’entreprise, immédiate ou future, et donc bien cerner les flux d’information les plus sensibles pour y appliquer une politique appropriée.

Le poste de travail, porte d’entrée, recouvre des situations multiples

Le poste de travail qui n’était jusqu’alors un seul « objet » banalisé se transforme en « espace de travail personnel» composite. Pour mener à bien ses tâches, l’utilisateur met en jeu plusieurs terminaux différents dont l’usage  soulève des problèmes de sécurité plus complexes.

Plutôt que de répondre à ce nouveau défi par des interdictions qui ont peu de chances d’être suivies d’effet, il faut  analyser la nature des risques et face  à chaque situation  déployer la mesure la mieux appropriée à la fois sur le plan technique et économique, mais aussi en termes d’acceptabilité. Une politique de sécurité passe en effet avant toute autre considération par l’adhésion des utilisateurs qui doivent comprendre les mesures qui leur sont imposées.

Aussi la problématique doit évoluer d’une vision statique de la sécurité à une vision dynamique et contextuelle. Comment protéger les données face à un accès non autorisé ? Comment protéger le service fourni contre les risques d’attaque de déni de service ? Comment faire face à la perte, ou vol, à la destruction d’équipements intégrés dans la chaîne de traitement de l’information ? Comment mesurer la vitesse et l’impact de la propagation d’un défaut, attaque, sinistre, faille de sécurité ? Comment évoluent les flux d’information : l’analyse des variations de flux peut-elle permettre d’identifier une situation atypique, des utilisateurs non programmés, des scénarios d’usage des informations non identifiés ? La sécurité impose une analyse active des événements.

A chaque menace doit correspondre une riposte graduée.  Une politique de sécurité ne peut s’en remettre au hasard en se basant sur la multiplication des barrières, des obstacles pour décourager les adversaires potentiels. La sécurité sera le résultat d’un travail précis sur le contrôle à l’entrée du réseau pour  identifier et autoriser les flux en fonction des politiques mises en place et isoler les différents flux en fonction de leur identification à l’entrée du réseau. Le réseau doit être en mesure de reconnaitre les équipements connectés au réseau  et d’appliquer des règles de contrôle d’accès sur les nombreux  critères  qui auront été définis : utilisateur, contexte, équipements, localisation.

Une politique de sécurité ne doit donc pas isoler artificiellement l’entreprise du terreau qui la nourrit : ses collaborateurs, ses clients, ses fournisseurs. En intégrant toutes les parties prenantes, la politique de sécurité n’est plus l’application mécanique de règles générales. Elle doit contribuer, comme l’ensemble du système d’information, à irriguer chaque fonction avec les informations les mieux appropriées et protégées à bon escient. La sécurité n’est donc plus aux frontières de l’entreprise, elle se situe à chaque niveau dans une granulométrie fine et doit s’appuyer sur une intelligence de l’information. C’est un chantier majeur qui doit s’appuyer sur l’analyse des actifs immatériels pour mesurer les risques et mettre en place le « juste nécessaire » de contraintes et donc de coûts.