Le point d’équilibre entre sécurité et facilité

Pourquoi est-ce si difficile de trouver le bon équilibre entre sécurité et facilité ?

Probablement parce-que, contrairement au man-standing-on-finger-jpg

principe réducteur que pose ce titre, il n’y a pas un seul point fixe d’équilibre entre sécurité et facilité d’utilisation.

Comment pourrait-il y en avoir d’ailleurs ? Chaque utilisateur, chaque métier est régit par ses propres besoins « en libertés » et sous « contraintes » de sécurité. De plus, côté client s’impose la transparence, c.a.d. la sécurité maximale et invisible pour ne pas altérer la qualité de la relation.

Et maintenant, à quelle vitesse, dans une entreprise agile, évoluent ces paramètres ?

 » Vitesse lumière Mr. Spock « 

Les contraintes

La liste est longue, prenons les grandes familles de contraintes possibles.

bibliotheque-et-livres

  • Légales, qui se déploient au gré des avancées de l’Union Européenne, puis des déclinaisons en droit local.
  • Stratégiques, à l’appréciation du comité de sécurité (ou Risk Manager, RSSI, Inspecteur/Auditeur/Contrôleur interne).
  • Systémiques, quand un ensemble d’acteur évolue dans un domaine sensible (santé, défense).
  • Réglementaires, quand le règlement intérieur ou les chartes d’usages appliquent les restrictions souhaitées par les directeurs. J’aurai plutôt tendance à classer ici les préconisations, par exemple celles de l’Agence Nationale de la Sécurité des Systèmes d’Information.
  • Techniques. Aussi surprenant que ça puisse être, quelque fois, la limitation est d’origine technique. Par exemple quand un sous ensemble du système d’information n’est pas intrinsèquement suffisamment sécurisé, et doit faire l’objet d’une mise à l’écart des accès et ressources externes.
  • Sociales, il arrive que certaines populations utilisatrices du système d’information ne soient pas à même d’apprécier les risques encourus. Alors l’entreprise, l’institution publique, est obligée de prendre des mesures de précaution, comme dans l’enseignement (utilisateurs mineurs et de tous ages).

 

Les libertés

La liberté, que l’on considère ses motivations profondes, telles que le libre arbitreabove-adventure-aerial-air, l’autonomie, le processus créatif, est dans une certaine mesure une nécessité pour la performance des entreprises. Sinon à quoi bon déployer une démarche d’entreprise agile, de transformation digitale, et vouloir être innovant sans liberté ?

Liberté nécessaire aussi car l’hyper informatisation, le sur-équipement fait que le moyen de contournement est souvent à portée de main. A moins d’avoir recours aux restrictions drastiques appliquées dans le secteur défense, à la R&D, voire chez les Opérateurs d’Importance Vitale. Exemple : abandon du téléphone mobile avant d’entrer dans la zone démilitarisée, réseaux internes et externes physiquement séparés, passerelles sous haute surveillance…

Donc ici inutile de nous lancer dans une liste, vous êtes libres de l’imaginer.

 

Les solutions ?

Actuellement, l’empilage de mesures, de couches de sécurité, de technologies de prévention, afin d’arriver à une granularité à peu près satisfaisante est franchement en train d’atteindre ses limites.

640px-swiss_cheese_model_of_accident_causation
Image par Davidmack, CC BY-SA 3.0 / Wikipedia

La preuve en est les éditeurs champions de la sécurité, qui en arrivent eux aussi à prêcher l’éducation, la formation des utilisateurs et à désigner le facteur humain comme vecteur de risque principal. Et ceux quelque soit leurs offres et les différents moyens de déploiement (on premise, cloud). Ok donc, la technologie ne suffit plus, et les fournisseurs de solution produisent d’importants efforts de R&D face aux évolutions des menaces (ransomware, APT), en étant plutôt suiveurs du moins pour le moment. Le côté positif est qu’à présent l’offre est suffisamment vaste pour outiller la problématique  (sans la résoudre durablement).

Reste que la nécessité de protection du système d’information, des données, des secrets ou de la sûreté si on pense aux processus industriels et SCADA  ne laisse aucune marge de manœuvre, et implique le déploiement du maximum de solutions que les moyens ou la raison permettent. Plus, bien entendu, les efforts de formation (des collaborateurs) et d’éducation (du grand public).

 

1789 – 2016 La prise de la Bastille

Une révolution dans le domaine de la sécurité informatique semble inévitable, car pris un par un: le firewall et l’antivirus sont dépassés. Les GPOs, les modèles RBAC … ne sont finalement qu’un ensemble de règles et outils bas niveau. Les firewall NG (IPS, Applicatifs), les HostIPS ne sont qu’une étape, déjà franchie donc quasi obsolète.

Une nouvelle étape est atteinte avec la vision globale des menaces, des vecteurs d’attaque, de leurs effets sur le

2 système d’information. Elle se matérialise dans l’offre de quelques éditeurs (FireEye).

Ce concept de clairvoyance au travers de toutes les couches systèmes, réseaux, équipements du SI ou personnels,

Ajouté d’une capacité de stockage et traitement de données massives (HP: le big data appliqué à la sécurité),

Consommés par une intelligence artificielle (IBM: Watson for Cyber Security)…

IA et Big data, voilà ce qui semble bien être l’avenir de la sécurité informatique. Ce qui, en soit, mérite une série d’articles dédiés à ce sujet…

Constructeurs, éditeurs, intégrateurs, reprenez l’initiative aux pirates, c’est à votre tour de vous lancer à l’assaut du bastion de la sécurité…!

 

 

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s