> SECURITE > Conseil & intégration > Executive opinion
A+ A-

Vers une sécurité qui libère votre organisation

Passez à l'offensive et garantissez la confiance.

par Hassan Maad, Directeur Général, Bull Evidian

L'approche sécurité de Bull repose sur une conviction : la sécurité est porteuse de valeur à condition d'être pleinement agile, orientée métier et alignée sur la stratégie de l'entreprise. Loin d'être seulement le prix d'une assurance tous risques, elle peut générer trois types de bénéfices : amélioration de la productivité, gains en flexibilité et différenciation concurrentielle. Le retour sur investissement pour la sécurité est alors possible.

Dans les années 2000, l'affaire Enron et de multiples appels à la transparence financière et à la protection des données ont conduit à un renforcement majeur des contraintes réglementaires. Ces contraintes, traduites par différents textes (SOX, Bâle 2, Solvency 2, HIPAA, LCEN, etc.), ont toutes intégré des règles strictes en matière de sécurité informatique. Ceci a marqué l'entrée de la sécurité dans le domaine du contrôle interne et des exigences d'audit. La crise financière actuelle et les divers scandales symptômes d'un pilotage déficient du risque, devraient voir s'accentuer encore fortement ces réglementations dans les années à venir.

Un défi paradoxal : conjuguer ouverture et sécurité
L'alignement des systèmes d'information sur la stratégie de l'organisation fait aujourd'hui ressortir la sécurité comme un enjeu majeur. Les contraintes imposées par les différents textes relatifs aux métiers reflètent son importance vitale pour les années à venir. Car, avec la dématérialisation croissante, jamais les échanges n'ont été aussi critiques au sein d'une organisation même ou avec son environnement. Les risques sont multiples : vol, perte de données confidentielles, fraude, vandalisme, chantage au déni de service, intelligence économique, etc. Un défi de plus en plus complexe avec l'ouverture vers les partenaires, les clients et les citoyens.

L'actualité nous le rappelle sans cesse. Personne n'est à l'abri d'un accident ou d'une malveillance. Les conséquences peuvent être désastreuses pour les organisations qui en sont victimes, avec des pertes financières qui ne sont pas des moindres. Dès lors, l'organisation se développant dans un écosystème élargi fera face à un impératif paradoxal : conjuguer ouverture et contrôle.

Sécurité : protection ou prison ?
Faced with this paradoxical challenge, organizations have a lot of work to do. Those who are most worried are dedicating between 6% and 9% of their IT budgets to security, with dedicated teams and whole business functions devoted to the issue. Taking the sums involved into account, the question is no longer simply one of how much to invest, but of the degree of profitability achieved.  

Face à cet enjeu paradoxal, l'effort des entreprises est significatif. Pour les plus préoccupées d'entre elles, de 6 à 9% des budgets informatiques sont consacrés à la sécurité, avec des équipes et des directions dédiées. Compte tenu des sommes en jeu, la question n'est plus seulement une question d'investissement, mais de mesure de rentabilité.

Aujourd'hui pourtant, force est de reconnaître que le système actuel arrive à ses limites. Car, les protections nécessaires pour un système ouvert et distribué posent un vrai défi aux directions informatiques. A chaque nouvelle menace, une nouvelle solution. A chaque faille un nouveau patch. Le résultat : un mille feuilles coûteux de solutions de sécurité souvent hétéroclites et mal intégrées, empilées au fil des années, conduisant à de multiplies barrières et protections, portant souvent de nouvelles contraintes pour les utilisateurs et faisant obstacle à l'agilité de l'organisation.

Ce défi est accru par l'ubiquité du système d'information et la 'consumérisation' de l'informatique : l'utilisateur utilise de plus en plus ses outils personnels (smartphones, netbooks, Facebook, etc.) dans des contextes variés et pas uniquement au sein de l'entreprise et de sa bulle sécurisée. Submergé de contraintes imposées par une sécurité non adaptée, l'utilisateur n'hésitera plus à contourner les solutions en ouvrant de nouvelles failles, à l'image de l'usage de mini SI se développant sur la toile.
L'urgence dans ce cas est de recentrer la sécurité sur l'utilisateur et de mesurer l'efficacité des solutions par leur capacité à libérer l'utilisateur dans son travail. La protection ne doit pas se transformer en prison.

L'émergence d'un nouveau paradigme
Il est facile d'assimiler la sécurité à l'image de la citadelle ou de la défense permanente contre les attaques et les menaces. Cette vision étroite de la sécurité a conduit pendant longtemps à privilégier les solutions uniquement orientées sur la technologie. Une approche totalement nouvelle est aujourd'hui nécessaire. Une approche adaptée à la création de valeur, centrée sur les hommes et les processus métiers. Une sécurité non plus seulement défensive, mais agile et proactive dans un monde ouvert.

Vers la sécurité d'un monde ouvert

Sécurité défensive

Sécurité agile et proactive

Citadelle

Immunité intégrée

Orientée technologie

Alignée sur les Processus Métiers

Centrée sur l'informatique

Plaçant l'utilisateur au centre de la sécurité

Locale

Ubiquiste et mobile

En silos

Intégrée

Cette sécurité de nouvelle génération comporte trois caractéristiques majeures :

  • Agilité. Plus que jamais, l'agilité de l'entreprise est un facteur essentiel de la réussite de ses missions. Poussée par des changements économiques à grande vitesse, toute organisation agit dans un espace de confiance dépassant ses frontières. L'utilisateur est dans ce contexte partout, dans l'enceinte de son organisation, chez le client, chez le partenaire, sur la route, accédant à son bureau à distance pendant ses vacances, etc. L'utilisateur est aussi le partenaire, le client, le citoyen. Son accès à l'information se fait à tout moment, de n'importe quel point et depuis différents moyens de communication. La sécurité doit savoir le suivre partout et suivre avec agilité la reconfiguration permanente de ses relations dans les écosystèmes métiers.
  • Orientation métier, car basée sur l'analyse des risques et des opportunités métiers. Les contraintes et les priorités d'un industriel diffèrent fondamentalement de ceux d'un opérateur télécom, d'une banque ou d'un service public. Dans ce domaine, il n'y a pas de solution universelle : chaque stratégie de sécurité doit s'adapter aux enjeux et processus métiers spécifiques. Mieux, elle doit les soutenir et les améliorer. En ce sens, au-delà de la technologie, il est essentiel de se rappeler que la sécurité est avant tout un projet organisationnel.
  • Centrage sur l'utilisateur. La sécurité n'est pas un produit, mais un processus. Trop compliquée à utiliser, administrer ou auditer, elle sera contournée. Nous le constatons, l'utilisateur est au cour de la stratégie de sécurité, il contribue d'une manière active au renforcement de la sécurité du système. Un utilisateur qui adhère à un processus de sécurisation est un véritable gage de réussite. Il est donc important que l'ergonomie des outils soit prise en compte dès le début. Les exigences de sécurité induisant des tâches répétitives et reposant uniquement sur le facteur humain sont un danger. Les outils de gestion des accès et de SSO et l'essor qu'ils rencontrent, en sont la meilleure illustration.

Vers une sécurité créatrice de valeur  
La sécurité se retrouve ainsi à la croisée de trois chemins, celui des technologies de l'information, de la politique métier de l'entreprise et des exigences utilisateurs. Elle ne pourra offrir le service attendu par tous que si elle réussit le pari de la réconciliation de la technologie avec le métier et l'usage qui en est fait.

Pionnier de la sécurité, Bull a engagé une telle approche depuis plusieurs années.
En tant que concepteur de solutions de sécurité à haute valeur ajoutée dans des technologies clés
, avec une approche conçue pour aligner la sécurité avec les enjeux métiers et humains. Citons notamment la gestion des identités et des accès (avec Bull Evidian), la mobilité (avec globull), le chiffrement (avec Bull TrustWay), la gestion des transactions (avec Bull Crypt2Pay et Bull MetaPKI) et la sécurité des données (avec Bull StoreWay). Une expertise soulignée par les analystes qui ont régulièrement distingué l'offre du Groupe Bull par de nombreux Trophées et notamment celle d'Evidian, reconnu comme le leader européen en gestion des identités et des accès.
En tant que conseil, intégrateur et infogérant, accompagnant les grandes organisations dans la mise en place de solutions de sécurité 'sur mesure', adaptées à des enjeux et processus métiers vitaux. Des grandes réalisations comme la sécurité de TéléTVA ou TéléIR, celle de Chorus, celle du plateau virtuel de conception du Falcon 7X de Dassault Aviation ou l'équipement monétique de 95% des banques françaises en témoignent.

L'approche sécurité de Bull repose sur cette conviction : la sécurité est porteuse de valeur à condition d'être pleinement agile, orientée métier et intégrée dans la stratégie d'entreprise. Loin d'être seulement un centre de coûts, elle peut alors générer trois types de bénéfices: amélioration de la productivité, gains en flexibilité, différenciation concurrentielle. Loin d'être un frein, elle devient alors un levier de développement métier.

Retour haut de page