La transformation numérique bouleverse les usages et la conception de la sécurité du système d’information. Le modèle de sécurité périmétrique historique (le château fort) n’est donc plus viable et la manière de gérer la sécurité doit s’adapter à ces nouveaux usages. Un nouveau modèle de sécurité basé sur la sensibilité des données et des traitements (l’aéroport) doit répondre à cette problématique. Il permet l’ouverture du SI vers l’extérieur pour des besoins métiers tout en protégeant les informations au juste niveau et en gardant la maitrise des activités grâce à des moyens de détection et de réaction efficace en cas d’attaques cyber.
Un modèle de sécurité en château fort qui a atteint ses limites
Historiquement, le système d’information a été construit de manière à être isolé de l’extérieur via une muraille constituée des équipements de sécurité (pare-feu, reverse-proxy, DMZ etc.). Il repose sur un espace de confiance quasiment unique, à l’intérieur du périmètre, avec un accès facile aux ressources de l’entreprise.
Par analogie, ce modèle historique est associé à un château-fort : entouré de murs renforcés, il dispose d’un seul point d’entrée surveillé mais ensuite le circulation est libre dans la la cité.
Ce modèle ne peut plus accompagner l’évolution des cyberattaques, plus précises et pointues. Elles savent viser directement le cœur du SI en pénétrant directement les ordinateurs des collaborateurs sans être arrêtées par la muraille, tel le cheval de Troie de la Grèce antique.
Ce modèle ne permet pas non plus de tirer tous les fruits de la transformation numérique. Celle-ci a amené les entreprises à changer fondamentalement leur conception du Système d’Information : elles sont passées d’un modèle fermé vers l’extérieur à ouvert. D’un point de vue client et partenaires, certaines informations sont directement accessibles via Internet et les applications mobiles. D’un point de vue du SI, l’externalisation est une réalité du quotidien, poussé encore plus aujourd’hui par le mouvement vers le cloud. D’un point de vue utilisateur, les collaborateurs utilisent de plus en plus d’outils personnels : BYOD, webmails personnels et applications personnelles sur les smartphones s’invitent dans l’environnement de travail. Toutes ces évolutions inéluctables rendent caduque la notion de périmètre.
Place à un nouveau modèle : l’aéroport
L’évolution du modèle de sécurité est donc nécessaire. Pour répondre à ces nouveaux enjeux, le modèle qui est aujourd’hui le plus adapté est celui de l’aéroport. Un aéroport est composé de zones d’accueil ouvertes au public permettant d’informer les clients ou encore de réaliser des ventes avec un niveau de contrôle minimum et adapté au contexte du pays. L’aéroport contient aussi des zones beaucoup plus sécurisées et en accès limité comme le tarmac ou les avions. Les contrôles sont de plus en plus poussés au fur et à mesure que l’on accède à des zones plus sensibles.
En sécurité de l’information, cela se traduit par des mesures de sécurité telles que des contrôles d’authentification plus ou moins élaborées (authentification forte, usage de la biométrie…), des contrôles d’intégrité et de bons usages (IDS/IPS, DLP…) afin de maitriser les accès aux zones contenant les informations sensibles de l’entreprise, et maîtriser leur manipulation.
Dans le modèle de l’aéroport, en plus des mesures de protection, il est essentiel de pouvoir détecter les éventuelles anomalies ou incidents et d’être en capacité de réagir rapidement et efficacement. C’est le rôle de la tour de contrôle, qui a pour mission de regarder au plus près (ce qui se passe dans le périmètre de l’aéroport) mais aussi au loin (les avions en approche). La tour de contrôle est capable réagir rapidement en cas de problème et d’apporter une réponse adaptée, voire d’appeler des renforts si besoin. Dans l’entreprise, ce rôle de surveillance doit être tenu par le SOC (Security Operation Center), avec si besoin le d’équipes dédiées à la gestion de crise cyber.
Pour que ce modèle reste viable dans le temps et afin d’être efficace face à l’évolution de la menace, la revue régulière de ces mesures de sécurité est essentielle. Les avions avant de décoller subissent un contrôle de leur niveau de sécurité et les pannes sont anticipées avec la maintenance préventive, il doit en être de même pour les mesures de sécurité : habilitations, contrôles, mise à jour doivent être en continuelle évolution.
Un projet de transformation à part entière
L’enjeu majeur de cette évolution ne sera par l’acquisition de nouvelles solutions de sécurité, bien souvent les pierres du château-fort pourront être utilisées pour bâtir l’aéroport. L’enjeu sera avant tout de structurer un vrai programme de transformation pour la sécurité du SI.
Programme mêlant des évolutions technologiques (souvent principalement autour de la détection des attaques), organisationnelles (responsabilisation des équipes en particulier de maitrise d’ouvrage et de développement, intégration des nouveaux processus de contrôle…) mais aussi qui devra diffuser dans tous les projets SI les principes d’évaluation des risques et d’architectures associés. La tentation est parfois grande de mettre des systèmes sensibles mais non sécurisés directement dans le hall de l’aéroport accessibles à tous…
Le pilotage irréprochable de ce programme et la démonstration de son efficacité par la réduction des risques seront les facteur clé de la réussite de cette transformation !