La sécurité : un enjeu critique pour les DSI
Aujourd’hui, trois facteurs majeurs font en effet de la sécurité une nécessité vitale, à la fois pour les systèmes opérationnels et les nouveaux projets :
- L’informatique est désormais au cœur des processus métiers. Des ERP à l’e-commerce, les systèmes d’information gèrent les processus et les données les plus vitales de l’entreprise. Ils sont une cible de choix pour les agresseurs potentiels : hackers, vandales, activistes, cyber criminels, concurrents.
- Les systèmes d’information s’ouvrent : Avec le développement d’Internet et de la mobilité (3G, WiFi,…), les SI ouvrent un nombre croissant de services à de plus en plus d’utilisateurs : partenaires, clients. Ils intègrent des technologies de plus en plus diverses. Cela crée de nouveaux risques qu’il faut circonvenir. Même si malgré tout, et on l’oublie trop souvent, les menaces viennent aussi et surtout de l’intérieur.
- La sécurité est désormais une obligation légale : de Sarbanes-Oxley à la LCEN, les réglementations font aujourd’hui de la sécurité une pierre angulaire de la protection des clients et usagers (HIPAA, LCEN, etc), des investisseurs (Sarbanes-Oxley) et des régulateurs (Bâle II, etc). La sécurité n’est plus une option : c’est une exigence. Avec Sarbanes-Oxley, par exemple, c’est le PDG lui même qui doit s’engager sur la conformité et qui en est comptable devant la loi !
Un monde ouvert, de nouveaux enjeux
La sécurité devient ainsi un attribut vital des systèmes d’information ouverts. Elle impose de relever de nouveaux défis. Car si la sécurité s’était traditionnellement portée sur la continuité de service et la sécurité réseau, le développement d’un monde ouvert implique aujourd’hui de compléter cette approche par de nouveaux domaines.
Un monde ouvert impose ainsi de relever 4 grands défis en matière de sécurité :
- Garantir la continuité de service. L’importance de la continuité de service a été remise en évidence par des événements tragiques tels que le 11 septembre aux USA ou AZF en France. L’objectif : garantir une disponibilité 24h/24, 7j/7 et assurer un plan de secours, en liaison avec les bonnes pratiques de gouvernance du SI (ITIL®, the IT Infrastructure Library). C’est un domaine dans lequel Bull s’implique très fortement, avec des solutions matérielles, mais aussi des innovations logicielles telles que ses offres SafeKit ou ARF (Application Roll-over Facility). Sans oublier les services : Bull offre l’un des centres d’infogérance et de plan de secours les plus avancés en Europe.
- Protéger des attaques réseaux. C’est l’enjeu N°1 de la sécurité avec le développement d’Internet : pare-feu, IPS, VPN. On évolue aujourd’hui d’une sécurité périmétrique simple vers une sécurité multi compartimentée et de bout en bout. Dans ce domaine, Bull s’implique non seulement avec son offre de VPN TrustWay pour les industries sensibles, mais aussi avec les meilleures solutions partenaires du marché, en offrant son expertise en tant que conseil et intégrateur de grands projets (passerelle de sécurité DGI Pass, etc).
- Habiliter : gestion des identités et des accès. Dans un monde ouvert, l’enjeu n’est plus uniquement de protéger son espace de confiance des menaces extérieures. La notion de « citadelle » tombe avec l’ouverture vers les clients et les partenaires. En effet, « La sécurité de la cité tient moins à la solidité de ses fortifications qu’à la fermeté d’esprit de ses habitants » (Thucydide, historien grec). Il devient donc essentiel, au sein d’une organisation, d’identifier les personnes d’une manière unique, de pouvoir habiliter les bons utilisateurs par les bonnes personnes et de prouver ces actions d’habilitation lors de l’audit. Ce domaine dit de « gestion des identités et des accès » connaît aujourd’hui un essor particulier et propose des outils qui deviennent stratégiques dans le choix des DSI. Dans ce domaine, Bull investit fortement en R&D, notamment au travers de sa filiale dédiée, Bull Evidian. Avec deux leitmotiv : adapter les outils de sécurité au plus près des processus métiers, comme l’atteste le lancement de WiseGuard 3G, nouvelle génération de SSO orientée politique métier. Et offrir, pour ceux qui le souhaitent, un niveau de sécurité maximal, comme l’atteste le lancement de notre clé USB TrustWay RCI 2, une solution d’authentification forte à la fois simple et ultra sécurisée pour le poste de travail mobile. Un lancement qui consacre une nouvelle innovation pionnière de Bull, deux décennies après l’invention par Bull de la carte à puce!
- Certifier : sécurité des
transactions. Une des valeurs essentielles
du monde ouvert est enfin de faciliter les échanges
entre partenaires, clients et utilisateurs, aux travers
de nouvelles technologies comme l’e-commerce,
les chaînes d’approvisionnement intégrées,
etc. D’où l’importance des solutions
de sécurité des transactions. Après
avoir fait leurs preuves dans la banque, celles-ci
se généralisent aujourd’hui :
services citoyens sécurisés, dématérialisation.
Notre investissement dans ce domaine est de longue
date. Il s’illustre en matière de gestion
des identités numériques (notamment
avec Bull MetaPKI), mais aussi de sécurité des
services Web et de monétique. Il comprend également
des solutions innovantes comme l’archivage
sécurisé et le coffre-fort dématérialisé.
Mise en œuvre : savoir cibler l’essentiel
Comment répondre à ces nouveaux défis ? La sécurité n’est pas seulement la recherche du risque zéro. Elle est un arbitrage entre risque, temps et contraintes budgétaires. Dans l’environnement de plus en plus complexe induit par l’ouverture des SI, l’expérience montre ainsi qu’il importe de suivre une démarche méthodologique pragmatique.
- Privilégier l’analyse fine et proactive des risques. Sécuriser, c’est prioriser et choisir. Une démarche de sécurité n’est jamais générique. Elle doit être adaptée à chaque contexte : administration, banque, telco, industrie, etc. D’où l’importance, avant toute approche technologique, de bien analyser les risques et de choisir les bonnes priorités. Bull, avec des consultants experts du domaine, s’attache à accompagner efficacement les entreprises et services publics dans cette démarche.
- Procéder pas à pas, avec une approche 80/20. L’expérience le montre : il faut construire les SI sécurisés en conjuguant une vision claire du futur et une approche pragmatique, étape par étape et en privilégiant l’essentiel. Dans ce domaine, Bull s’attache à aider ses clients à se focaliser sur les priorités majeures, tout en innovant sur les technologies de demain. Le Groupe propose notamment des solutions offrant le maximum de sécurité pour le minimum d’investissement, telles que les solutions de SSO et d’authentification forte. Le programme IAM NOW > lancé en 2005 par Evidian illustre cette démarche progressive dans le domaine de la gestion des identités et des accès.
- Mettre l’utilisateur au cœur de la sécurité. La sécurité n’est pas un produit, c’est un processus. Trop compliquée à utiliser, administrer ou auditer, elle sera contournée. Plus que jamais, l’utilisateur est au cœur de la stratégie de sécurité. La priorité que nous donnons à la gestion des authentifications utilisateur en est l’image. Un utilisateur qui adhère à un processus de sécurisation est, pour les DSI, un gage de réussite. Il est donc important que l’ergonomie des outils soit prise en compte dès le début.
Dans un monde ouvert, la sécurité apparaît ainsi plus que jamais comme un défi majeur. L’expérience montre qu’il est possible d’y répondre efficacement. L’enjeu n’est pas seulement la maîtrise des risques. C’est aussi un enjeu métier majeur : confiance des clients, des usagers, des partenaires, des investisseurs, des parties prenantes.
Notre volonté est d’être à vos côtés pour vous aider à relever ces défis, pour tirer au mieux parti des opportunités d’un monde ouvert !
Télécharger le livre blanc : " La sécurité : socle essentiel d'un monde ouvert" >> |
