09/11/2001
Espace
de confiance: de l'art de ne pas confondre les moyens
avec les fins
Ce
n'est pas une nouveauté, l'informatique raffole
des "buzzwords" et la sécurité
n'y échappe pas depuis quelques temps. Et pour
cause: techniquement, la sécurité est
longtemps restée dans les couches basses du système
d'information et dans les mains de spécialistes
qui intervenaient le plus souvent "à part".
Traditionnellement, dans bon nombre de projets la sécurité
devenait un sujet une fois les applications en production.
Mais la donne change: la dématérialisation
croissante des échanges, la légalisation
de la signature électronique "poussent"
la sécurité vers les couches hautes du
système d'information - vers l'utilisateur. L'enjeu
n'est plus seulement de "sécuriser"
le réseau ; il s'agit aussi de "signer",
"d'habiliter", de "certifier"...
En résumé, la sécurité devient
de plus en plus une affaire d'applications et d'utilisateurs.
Assez naturellement, éditeurs et prestataires
tentent de ne pas louper le coche et sèment en
route quelques buzzwords, sensés "illuminer"
les utilisateurs. Parmi "ces mots magiques",
l'un se détache nettement: PKI, pour Public Key
infrastructures ou infrastructures à clefs publiques.
Un terme tellement en vogue que parler sécurité
sans évoquer les PKI frôle le délit...
Pourtant, établir un parallèle aussi systématique
revient bel et bien à confondre la fin avec les
moyens. C'est l'un des enseignements du Livre Blanc
que Octo
Technology, cabinet de conseil en architecture de
système d'information, s'apprête à
publier à la fin de la semaine.
PKI: autant de "bruit" que d'incertitudes
"La notion de PKI devient à la sécurité
ce qu'est l'estampille CRM au domaine de la gestion
de la relation client, remarque Denis Schneider, consultant
et co-auteur avec Laurent Henriet du Livre Blanc. Et
cela, bien que de nombreuses questions restent encore
en suspens, qu'il s'agisse par exemple des standards
pour mettre en oeuvre ces PKI à travers les applications
ou encore pour garantir l'interopérabilité
entre les tiers de confiance. En dépit de toutes
ces incertitudes, poursuit l'intéressé,
les PKI s'imposent peu à peu dans les esprits
comme une fin en soi. Pourtant, elles désignent
seulement un moyen d'industrialiser les techniques de
chiffrement pour répondre à quelques-uns
des besoins que couvre la création d'un espace
de confiance".
Potentiellement, dixit Octo Technology, la création
d'un espace de confiance couvre différents types
de besoins. "Nous distinguons sept piliers: le
contrôle d'accès, l'identification, l'intégrité,
la confidentialité, l'habilitation, la non-répudiation
et le SSO (Single Sign On ou login unique, ndlr)",
décrit décrit Laurent Henriet. Pour chacun
de ces piliers, Octo dresse la liste des principales
solutions. Par exemple: le filtrage protocolaire pour
le contrôle d'accès, les clefs USB pour
l'identification, le recours à des sessions https
ou à des outils de chiffrement de messages pour
la confidentialité, les outils de RSA/Securant,
Netegrity ou Tivoli pour le SSO, etc. "Il faut
toutefois bien garder à l'esprit que les besoins
sont très imbriqués et peuvent difficilement
être abordés indépendamment les
uns des autres", souligne Laurent Henriet. En
même temps, il n'existe pas aujourd'hui de solution
universelle capable de couvrir l'ensemble de ces besoins.
Les fameuses PKI par exemple n'ont pas été
conçues pour prendre en charge des informations
relatives aux habilitations.
Vers une mutualisation de la plate-forme sécurité
Conséquence, la montée en puissance des
projets de type "Espace de confiance" au sein
des entreprises conduisent assez rapidement à
la notion de "plate-forme Internet de sécurité
mutualisée ": une architecture qui concentre
les services de sécurité requis par les
projets de l'entreprise. "Une telle plate-forme
est un bon moyen d'ancrer le projet sécurité
dans une logique d'urbanisation du système d'information,
note Laurent Henriet. C'est aussi une façon de
mettre les responsables sécurité autour
de la table dès le commencement d'un projet puisque
tout projet mutualisé doit savoir se vendre au
sein de l''entreprise". Cette mutualisation, dixit
le cabinet de conseil, connaîtra toutefois forcément
des limites. S'il semble raisonnable par exemple de
mutualiser des services d'habilitation pour des ressources
génériques, l'accès à des
applications très spécifiques ne demande
probablement pas cet effort.
Fonctionnellement, Octo estime qu'une telle architecture
mutualisée comprend trois entités principales:
le serveur d'authentification, le serveur d'habilitation
et le serveur de chiffrement. Sans oublier, bien entendu,
le référentiel utilisateur qui, situé
dans une zone démilitarisée (entre deux
rangs de firewalls) stockera uniquement les informations
nécessaires aux services de sécurité
mutualisés. "Cet annuaire sécurité,
précise le consultant d'Octo Technology, ne doit
pas être confondu avec l'annuaire maître
des utilisateurs même s'il est constitué
à partir de certaines informations de ce dernier".
Des échanges de données devront donc être
orchestrés avec précision. En d'autres
termes, de la plate-forme de sécurité
mutualisée à l'EAI (Enterprise Application
Integration), il n'y a qu'un pas. Que franchiront inévitablement
les grandes entreprises.
|