Sécurité des SI: l'innovation devra faciliter le quotidien des utilisateurs
A l’heure où les innovations technologiques sont de plus en plus accessibles au grand public, les utilisateurs en entreprise souhaitent retrouver dans leur cadre professionnel le même niveau de performance et de convivialité que dans leur sphère privée.
Force est de constater que les offres des DSI ne suivent pas toujours le rythme des technologies qui se déploient en dehors de l’entreprise.L’une des approches alors adoptée par les utilisateurs consiste à utiliser leur matériel personnel à des fins professionnelles. On peut citer en premier lieu les smartphones, mais les PC portables/ultraportables et les tablettes tactiles sont de plus en plus concernés, de même que les usages associés : réseaux sociaux, outils collaboratifs, partage de fichiers et autres solutions hébergées dans le Cloud.
Ce qui pouvait ressembler à un « caprice » des utilisateurs apparaît aujourd’hui être un véritable enjeu pour l’employeur : les moyens informatiques mis à disposition glissent progressivement d’un rôle d’outil vers une problématique de ressources humaines et de recrutement des jeunes talents.
L’autorisation de nouveaux usages au cœur des SI modernes passe notamment par l’innovation.
Innover pour faciliter le quotidien de l’utilisateur
Les
technologies de sécurité ont mûri ces dernières années : on peut citer
plusieurs exemples, comme le cas du chiffrement intégral de disque dur qui est
aujourd’hui stable et largement déployé, la standardisation de puces matérielles
de sécurité embarquées (type TPM), l’apparition d’applications « bac à
sable » (s’exécutant dans un environnement isolé) ou encore la
virtualisation des postes de travail. L’avènement du Cloud permet, lui, de
déporter certaines fonctions de sécurité comme les antivirus ou les proxys.
Ces
évolutions amènent aujourd’hui à pouvoir parfois autoriser des usages
précédemment proscrits.
Déclinons ces idées à travers trois études de cas concrets :
1) Rendre
transparente la connexion distante VPN sur le poste de travail entreprise.
Depuis
des années, ces accès sont, pour la plupart des Grands Comptes, synonymes
d’utilisation de tokens (ces
« calculettes » générant des codes à usage unique). La question du
remplacement des tokens, perçus comme
contraignants par les utilisateurs peut aujourd’hui se poser.
Une
solution réside dans l’utilisation de certificats numériques. En effet, si ces
certificats sont eux-mêmes protégés sur le poste par un chiffrement intégral du
disque dur (ou mieux encore par une puce TPM), ils bénéficient alors d’un
niveau de sécurité avancé.
L’expérience
utilisateur s’en trouve améliorée, puisque les certificats permettent une
connexion « en un clic », sans mot de passe/token supplémentaire à saisir. L’authentification à deux facteurs
est respectée, avec « quelque chose que l’on sait » (le mot de passe
utilisateur) et « quelque chose que l’on possède » (le PC qui
contient le certificat sécurisé).
2) Simplifier
la connexion depuis un poste banalisé pour accéder à des intranets/webmail
Tout
comme la connexion VPN, l’accès à l’Intranet (en particulier au webmail) depuis n’importe quel poste
nécessite une méthode d’authentification plus robuste que le simple nom d’utilisateur/mot de passe du fait du
risque de vol et de rejeu lors de l’utilisation sur des postes non maîtrisés.
Le token a, là aussi, été
historiquement privilégié.
Il
existe aujourd’hui d’autres méthodes de protection pour les connexions
banalisées, comme par exemple le soft
token, qui peut se décliner en une application sur un smartphone, l’envoi de SMS contenant un code, ou encore un
« chemin » à mémoriser par l’utilisateur dans une grille remplie de
chiffres générés aléatoirement, qui est directement affichée sur le site Web
d’accès.
3) Autoriser l’utilisation de smartphones personnels
Cet
usage a souvent été interdit car il posait trop de problèmes de sécurité. Il
peut aujourd’hui être envisagé plus sereinement avec des approches de type
« silo professionnel » : il s’agit de segmenter sur le terminal
les usages professionnels des usages personnels, soit par une configuration avancée,
soit par l’usage d’applications dédiées. L’entreprise garde ainsi la main uniquement
sur ses données, et interdit par ailleurs l’accès aux terminaux ne respectant
pas les prérequis minimaux de sécurité (version de terminal à jour, mot de
passe robuste, etc.).
Les
trois exemples développés précédemment sont aujourd’hui fréquents, mais bien
d’autres peuvent être envisagés, en particulier sur des réseaux sociaux ou des
services Cloud. Ces approches doivent cependant toujours faire l’objet d’une
analyse en regard des risques du contexte : toute solution ne peut pas être acceptable
dans tout environnement.
Encadrer
les usages et responsabiliser les utilisateurs
L’autorisation
de nouveaux usages ne signifie pas pour autant l’absence de règles : il
est nécessaire d’encadrer ces pratiques.
D’une
part, les mesures mises en place se doivent d’être cohérentes sur les
différentes briques du SI. D’autre part, il faut aussi parfois savoir accepter
les limites de la technique : là où il n’est pas possible de maîtriser les
usages, une sensibilisation adaptée permettra de responsabiliser les
utilisateurs aux risques encourus.
Dans
la mesure où ils posent de nouvelles questions en termes juridiques et de
ressources humaines, ces usages doivent par ailleurs faire l’objet d’un
accompagnement dédié de la part des départements concernés. Les équipes
sécurité doivent éviter de traiter seules des problématiques pour lesquelles
elles ne sont pas toujours qualifiées (par exemple la validité légale de
chartes émises) ou qui ne relèvent pas de leur responsabilité (comme la perte
de productivité liée à l’utilisation de réseaux sociaux).
Les
points développés ici convergent tous vers la même idée : simplifier le quotidien des
utilisateurs, sans remettre en cause la sécurité. Les nouveaux usages souhaités
par ces derniers ne pourront pas être indéfiniment stoppés : même
interdits, ils apparaissent d’une manière ou d’une autre au sein de
l’entreprise.
La
DSI, notamment à travers le RSSI, se doit d’y réagir, en répondant aujourd’hui
à la fois au besoin des utilisateurs mais aussi à leurs envies. Il s’agit au
passage d’une opportunité intéressante de soigner l’image positive de la DSI.
L’adage est – plus que jamais – adapté : les fonctions de sécurité doivent s’apposer, et non s’opposer !