Comment sortir d’un débat sans issue source d’irritation pour tous les
acteurs
La sécurité informatique est
devenue un thème lancinant des colloques, revues, articles et flux RSS qui traitent de la
révolution numérique. Il n’est pas de jour où on ne parle de cyber-attaque, de
cybercriminalité, de cyber-guerre, de campagne de phishing, dont on était récemment victimes de célèbres
enseignes de télécommunications et d’énergie, d’attaque contre la e-réputation…
Se mélangent ainsi sous cette vaste rubrique « sécurité informatique »
une série d’informations touchant des natures de délinquance très différentes,
qui vont de la banale escroquerie, classique, à la carte bleue ou aux
prestations sociales aux opérations de fraude de haut vol et à la
déstabilisation d’Etat. On cherche ainsi à se prémunir contre la curiosité
présumée des services de sécurité de pays pourtant amis en cherchant à inventer
le « made in France » de la localisation des données dans le monde
éthéré du « nuage ». S’il y a beaucoup de paranoïa derrière cet
inventaire, c’est que l’on cerne mal les menaces dans le monde de l’immatériel et
que l’on a beaucoup de difficultés à concevoir une politique de sécurité dont
on puisse prévoir l’efficacité, et donc le rapport coût/valeur.
Cette omniprésence du thème
sécuritaire génère un climat d’inquiétude diffuse qui perturbe les directions
générales, soucieuses de se prémunir face à ces risques nouveaux et mal
compris, comme les pouvoirs publics désireux de juguler cette nouvelle délinquance.
Mais face à cette avalanche de mises
en garde dramatiques, l’utilisateur manifeste une souveraine indifférence et se
rue sans modération vers les nouveaux outils que sont les smartphones et les
tablettes dont l’attractivité balaie toutes les inhibitions. On stocke sur son
disque dur d’ordinateur portable des documents « confidentiels », on
utilise, comme 47% des collaborateurs des entreprises américaines, son iPhone
pour accéder partout à ses courriers électroniques professionnels, on néglige
de sauvegarder sur un autre support le précieux résultat de son travail, sans
compter les petits post-it jaunes collés sur l’écran qui contiennent en clair ses
mots de passe.
Face à cette légèreté des
comportements, les DSI tentent avec détermination d’opposer une stratégie de
sécurité inflexible. Pour cela ils bannissent le libre usage des smartphones,
bloquent les sites web, imposent un mot de passe alphanumérique complexe et
changé tous les mois, cryptent les disques durs et accumulent sur les PC
officiels les couches de sécurité qui en ralentissent le démarrage. Les
utilisateurs trouvent dans ces précautions multiples qui ralentissent le
travail et brident la liberté d’utiliser le matériel de leur choix une raison supplémentaire de blâmer l’informatique.
On observe des débats curieux. L’ire des utilisateurs agace les directions qui
blâment la DSI. Celle-ci se défend derrière l’exécution des décisions de ces
mêmes directions générales, alors même qu’elles ne sont souvent pas les dernières à utiliser des
matériels officiellement non autorisés.
La sécurité informatique est donc
bien une pomme de discorde et un facteur de tension au sein des entreprises.
Elle est perçue comme le frein ultime et aveugle de l’innovation et de la
créativité.
Il est clair que ce débat est
aujourd’hui dans l’impasse ce qui impose une remise à plat des analyses et des
stratégies.
Prendre la mesure de la fragilité de son capital informationnel
Si la sécurité numérique a pris
une telle place dans les préoccupations des entreprises, c’est une preuve par
défaut que l’information est perçue désormais comme jouant un rôle déterminant
dans le capital des entreprises. Si les mesures de sécurité sont mal comprises
et mal acceptées c’est que la maturité des politiques et des outils n’ont pas
suivi l’extraordinaire vitesse de déploiement des nouveaux objets numériques.
Le libre usage de ces outils informationnels, en toutes situations de la vie
personnelle et professionnelle, crée un nouvel état de fait, une revendication
irrépressible à laquelle les réponses sécuritaires sont inappropriées,
inopérantes et jugées comme vexatoires.
Il faut donc réconcilier deux
mouvements majeurs : la place nouvelle de l’immatériel dans la valeur des
entreprises et l’impérieuse nécessité de laisser à tous les acteurs la
possibilité de créer et d’exploiter cette information.
Ce double défi implique une
révision des concepts utilisés depuis le début de l’essor de l’informatique.
L’information est un flux liquide qui irrigue tous les temps de la vie et qu’il
est vain d’endiguer. L’informatique a été conçue initialement pour gérer des
flux stables et identifiés de données
formalisées internes aux entreprises, partagées entre des personnes connues et
toutes soumises au même type de contrat de travail, avec ses règles, droits
d’usage, mots de passe. Cette situation est en passe de devenir minoritaire. L’informatique doit aujourd’hui faire face à
des flux multiples. Les principes de
sécurité doivent permettre d’accéder aisément à des informations internes non
structurées, comme la vidéo, de même qu’à des informations structurées
externes, tels les échanges de données entre tous les acteurs de l’entreprise
étendue. Mais ce qui a pris un essor considérable depuis quelques années, c’est
le volume des informations non structurées externes, avec le torrent des données issues du web,
textes, images fixes ou vidéos.
La situation est devenue complexe
pour les responsables de la DSI. Aussi, la réponse fréquente face à cet afflux
de données composites est une réponse malthusienne : on cherche
désespérément à limiter les flux et les
volumes pour les contrôler avec deux motifs également incompréhensibles pour
les utilisateurs, les coûts et la sécurité.
La consumérisation des
technologies de l’information mine en effet ces arguments pour des utilisateurs
qui chez eux disposent de moyens en libre accès : des téraoctets de
stockage, de la bande passante abondante (presque toujours !) et des
opérateurs qui autorisent des stockages individuels et des tailles de pièces
jointes presque sans limite. Et quand les documents à échanger sont trop
lourds, on utilise les outils comme DropBox sans problème… Tout ceci est
aujourd’hui à la portée de chacun tant en coût qu’en facilité d’usage. Alors
pourquoi les entreprises semblent en décalage constant avec la réalité perçue
par les utilisateurs ?
Pour appréhender sérieusement le
dossier de la sécurité, et entrer dans une boucle vertueuse de résolution de
problème, il faut reposer clairement des questions fondamentales : que
doit-on protéger ? quels sont les risques réels ? où sont les
« ennemis » ? quelle est l’efficacité des parades ? quel
est leur coût ?
La protection du patrimoine
informationnel de l’entreprise est un sujet mal exploré car souvent mal posé. Faute
de diagnostic fin on applique sans nuance le principe de précaution : tout
doit faire l’objet du même degré de protection. Et pour y parvenir, on impose une protection
périmétrique étanche, partant du principe que les « bad guys » sont
nécessairement à l’extérieur et que si on leur impose un mur d’enceinte
efficace la vie à l’intérieur sera protégée. Cette vision, acceptable dans un
monde figé, n’est plus opératoire dans un monde ouvert où précisément les flux
internes et externes sont constamment mélangés. La question pratique qui est posée
aux nomades est bien d’accéder aux informations des entreprises où ils opèrent
comme à celles de leur propre entreprise à partir de l’extérieur. La mobilité
des personnes (employés, sous-traitants, partenaires, clients) entraine la
nécessité de maitriser ce qui se connecte sur le réseau de l’entreprise, quelle
que soit la méthode d’accès. Accéder au web, partager des ressources collaboratives,
utiliser des flux vidéo pose constamment des problèmes pratiques frustrant. Or
l’entreprise étendue impose ce mode de fonctionnement.
L’efficacité qui en résulte ne peut être compromise par des mesures de sécurité
trop générales et trop contraignantes.
Il faut donc organiser cet accès
en gérant la qualité du service fourni comme la maîtrise de la sécurité à
chaque étape et pour chaque usage.
La protection des données
sensibles suppose une bonne compréhension par tous du caractère réellement
sensible des informations manipulées par les entreprises. Ce travail
d’identification valide les précautions prises et les renforce. Il permet une
sélectivité des mesures et une meilleure acceptation collective. Il permet
également de mettre en rapport le risque et le coût de la protection.
La cartographie des applications
sensibles est également une base précieuse d’informations pour le pilotage de
la gestion informatique. Il ne s’agit plus alors de protéger contre le risque
de disparition ou d’exploitation frauduleuse des données mais, simplement, de
permettre à l’entreprise d’exploiter sans rupture l’activité qui va générer ses
flux économiques. Par exemple on constatera sans grande surprise que les
applications prioritaires sont celles qui assurent la facturation et la gestion
de trésorerie. Ce qu’il faut protéger dans l’entreprise c’est ce qui menace son
activité courante comme son image. Il faut protéger la valeur de l’entreprise, immédiate
ou future, et donc bien cerner les flux d’information les plus sensibles pour y
appliquer une politique appropriée.
Le poste de travail, porte d’entrée, recouvre des situations multiples
Le poste de travail qui n’était jusqu’alors
un seul « objet » banalisé se transforme en « espace de travail personnel»
composite. Pour mener à bien ses tâches, l’utilisateur met en jeu plusieurs
terminaux différents dont l’usage soulève
des problèmes de sécurité plus complexes.
Plutôt que de répondre à ce nouveau défi
par des interdictions qui ont peu de chances d’être suivies d’effet, il faut analyser la nature des risques et face à chaque situation déployer la mesure la mieux appropriée à la
fois sur le plan technique et économique, mais aussi en termes d’acceptabilité.
Une politique de sécurité passe en effet avant toute autre considération par l’adhésion
des utilisateurs qui doivent comprendre les mesures qui leur sont imposées.
Aussi la problématique doit évoluer d’une vision
statique de la sécurité à une vision dynamique et contextuelle. Comment
protéger les données face à un accès non autorisé ? Comment protéger le
service fourni contre les risques d’attaque de déni de service ? Comment
faire face à la perte, ou vol, à la destruction d’équipements intégrés dans la
chaîne de traitement de l’information ? Comment mesurer la vitesse et l’impact
de la propagation d’un défaut, attaque, sinistre, faille de sécurité ? Comment
évoluent les flux d’information : l’analyse des variations de flux peut-elle
permettre d’identifier une situation atypique, des utilisateurs non programmés,
des scénarios d’usage des informations non identifiés ? La sécurité impose une
analyse active des événements.
A chaque menace doit correspondre une
riposte graduée. Une politique de
sécurité ne peut s’en remettre au hasard en se basant sur la multiplication des
barrières, des obstacles pour décourager les adversaires potentiels. La
sécurité sera le résultat d’un travail précis sur le contrôle à l’entrée du réseau
pour identifier et autoriser les flux en
fonction des politiques mises en place et isoler les différents flux en
fonction de leur identification à l’entrée du réseau. Le réseau doit être en
mesure de reconnaitre les équipements connectés au réseau et d’appliquer des règles de contrôle d’accès
sur les nombreux critères qui auront été définis : utilisateur,
contexte, équipements, localisation.
Une politique de sécurité ne doit donc pas
isoler artificiellement l’entreprise du terreau qui la nourrit : ses
collaborateurs, ses clients, ses fournisseurs. En intégrant toutes les parties
prenantes, la politique de sécurité n’est plus l’application mécanique de règles
générales. Elle doit contribuer, comme l’ensemble du système d’information, à irriguer
chaque fonction avec les informations les mieux appropriées et protégées à bon
escient. La sécurité n’est donc plus aux frontières de l’entreprise, elle se
situe à chaque niveau dans une granulométrie fine et doit s’appuyer sur une
intelligence de l’information. C’est un chantier majeur qui doit s’appuyer sur
l’analyse des actifs immatériels pour mesurer les risques et mettre en place le
« juste nécessaire » de contraintes et donc de coûts.