Conformité : « sécuriser l'infrastructure c'est important mais insuffisant »

Selon Eric Baize, directeur sécurité « senior » chez EMC, compte tenu de la multiplication des points d'accès aux systèmes d'information, les entreprises doivent recentrer leurs politiques de sécurité sur les utilisateurs, et non plus uniquement sur leurs

Partager

TESTEZ GRATUITEMENT L'ABONNEMENT À L'USINE NOUVELLE

15 jours gratuits et sans engagement

Conformité : « sécuriser l'infrastructure c'est important mais insuffisant »
Depuis l'ouverture de la conférence RSA (groupe EMC), on entend parler de risques, de risques et de risques... Est-ce lié aux évènements qui ont secoué le monde de la finance au cours du dernier mois ?

Le monde de la sécurité a évolué vers le risque depuis on va dire 18 mois. Ce n'est donc pas quelque chose d'actualité qui doit être lié à ce qui s'est passé durant ces dernières semaines dans le monde financier. Mais il est bien clair que ce qui se passe aujourd'hui sur les places financières est une démonstration du résultat que peuvent avoir des stratégies dans lesquelles les risques ne sont pas pris en compte. Lorsque l'on voit des compagnies valant des centaines de milliards de dollars qui investissent peut être 1% de leurs revenus sur des activités à très hauts risques et qui au final vont droit à la faillite, on voit bien qu'elles ont pris des risques inconsidérés. Ce qui se passe sur les places financières offre un exemple de l'importance de la gestion du risque.

Pourquoi dites-vous que cela remonte à 18 mois ?

C'est une date approximative... Mais tout montre qu'il y a eu une prise de conscience généralisée que la sécurité absolue n'existe pas. Et que l'important consiste désormais à comprendre quelles sont les informations sensibles, quelles sont celles qui sont le plus exposées, quel est l'impact d'une exposition de ces informations... Et, par rapport à cela, de déployer une sécurité qui ne soit plus liée à l'infrastructure mais à l'information que vous êtes amené à traiter et aux différents impacts qu'une perte d'information peut avoir sur votre activité.

Pourquoi cette dichotomie entre les infrastructures et l'information ?

Ce que l'on voit dans l'évolution de l'industrie de la sécurité, c'est que la sécurité s'est concentrée sur le contrôle de l'accès de l'utilisateur aux informations depuis un quart de siècle. C'est toujours l'objectif final. On a un utilisateur, une information et une infrastructure pour gérer cette information, entre l'utilisateur et l'information. Cette infrastructure est en train de disparaître ou plutôt de se virtualiser. On ne parle plus de serveurs mais de centres de données virtuels. On ne parle plus d'applications mais de services à la demande ou de « cloud computing ». On ne parle plus de stockage mais d'infrastructures d'information. Avant, on comptait sur l'infrastructure pour appliquer la sécurité sur l'information. Or, cette infrastructure est en train de disparaître. Maintenant, tout se porte donc d'un côté sur l'utilisateur et de l'autre sur l'information. L'infrastructure n'est plus qu'un point où cette politique s'applique.

Un tel recentrage sur l'information passe-t-il par des offres de sécurité plus verticales ?

Oui. Quand on parle d'une démarche de gestion de risques liés à l'information, on commence toujours par une définition de la politique de sécurité liée à cette information. Si vous êtes une société industrielle par exemple, vous avez peut être un fichier clients, des transactions de cartes bancaires liées à ce fichier, et donc au moins des contraintes réglementaires liées aux différentes législations européennes sur la protection de la vie privée. Si vous êtes une banque, vous allez avoir un cadre législatif très différent, et un cadre qui va certainement se renforcer dans les semaines et les mois qui viennent. Le choix d'une politique par rapport aux risques qui vous sont propres sera le point déterminant à partir duquel vous commencerez à classifier votre information et à découvrir les points sensibles de votre environnement.

Comme vous venez de le signaler, tout le monde s'attend à un durcissement des contraintes réglementaires liées à la conformité. Dans ce cas, les entreprises n'ont-elles pas intérêt à attendre une stabilisation de l'environnement avant de choisir une solution ?

Les contraintes risquent d'évoluer mais l'objectif final reste le même. Toutes les réglementations qui existent aujourd'hui se focalisent sur le contrôle de l'accès des utilisateurs à l'information et le fait de pouvoir le prouver. La notion de preuve est très importante. On peut s'attendre à un durcissement de ces demandes, mais toujours dans la même direction. Attendre reviendrait donc à se mettre au pied du mur et surtout à attendre d'avoir à investir des sommes conséquentes dans six mois. Ce qui n'est pas forcément souhaitable si l'économie n'évolue pas dans la bonne direction.

Propos recueillis par Christophe Dutheil

Partager

LES ÉVÉNEMENTS L'USINE NOUVELLE

LES SERVICES DE L'USINE NOUVELLE

ARTICLES LES PLUS LUS