Gestion des accès et des identités : se concentrer sur la donnée
L’entreprise hyper-connectée est en interaction permanente avec ses partenaires, clients et collaborateurs. Une masse critique d’échanges de données et parmi elles, les données sensibles et confidentielles, est amenée à quitter quotidiennement son périmètre de sécurité.
Afin d’en réduire les risques de compromission, la donnée doit disposer de son propre bouclier.La sécurité périmétrique : inadaptée à la circulation du flux
Il est aujourd’hui exclu pour une
entreprise de se passer des outils de productivité à sa disposition sur le
marché. Le travail à distance et la mobilité, le Cloud, l’interconnexion avec
les fournisseurs et les clients sont des solutions massivement adoptées. Des
outils qui entraînent dans leur sillage la nécessité de repenser profondément
la sécurité des données produites, dès lors qu’elles sont destinées à être
accessibles. Le système d’information et sa sécurité doivent donc être pensés
au regard de cette accessibilité.
Or, la conception de la sécurité
informatique telle qu’on l’entend aujourd’hui est une sécurité réseau.
C’est-à-dire pensée en termes de périmètres de sécurité, dans lesquels la
donnée est protégée. A contrario, une fois hors de son périmètre, la donnée
devient vulnérable. Or, elle ne peut plus le rester dans ce contexte
d’interopérabilité et d’échanges permanents.
Tel le romain quittant l’enceinte des
remparts pour partir en campagne, la donnée, privée de sécurité périmétrique,
doit pouvoir disposer de l’arsenal nécessaire à sa propre protection : un
bouclier et un signe de reconnaissance.
Une nécessaire gestion des identités au niveau de la donnée
En guise de bouclier, il s’agit de procéder au chiffrement de la donnée. La donnée ainsi cryptée peut être stockée dans le Cloud, copiée sur une clé, transférée sur un terminal mobile et diffusée aux partenaires, minimisant les risques liés à sa perte ou son interception.
Le signe de reconnaissance quant à lui
relève de la gestion des identités et des accès (IAM – Identity and Access
Management), dont le projet requiert une attention particulière. Et
certainement avec elle, un état d’esprit spécifique. La démarche à ce stade est
organisationnelle avant d’être technique puisqu’elle implique que l’entreprise
conçoive son projet d’IAM en fonction des identités et des rôles attribués à
chacun au regard de la donnée, et non plus en fonction d’un périmètre de
sécurité. La donnée (ou un paquet de données) devient un micro-périmètre,
auquel sont associés une identité et un droit.
Le cryptage en amont ou en aval de
sortie du flux, combiné au projet global d’IAM centré sur la notion
d’accessibilité de la donnée, assure à l’entreprise un gain de sécurité par
ailleurs évolutif. En effet, le choix d’une ouverture vers un mode SaaS sera
facilité puisque la politique de sécurité porte dorénavant sur le flux et non
plus uniquement sur un périmètre.
Un projet en plusieurs étapes
L’encryptage de la donnée et la finesse du contrôle d’accès conduisent tôt ou tard à s’orienter vers une solution d’authentification unique (SSO). C’est d’autant plus pertinent que les acteurs de l’entreprise et les partenaires auront à se connecter à des plateformes toujours plus nombreuses, multipliant les référentiels d’authentification. Ceci implique d’ailleurs de privilégier les standards afin d’opter pour une solution SSO capable de les intégrer tous et en toute transparence.
A ce déploiement, s’ajoutera la
question du niveau de contrôle de l’authentification, au travers de certificats
voire, notamment pour les grands comptes et certaines industries hautement
sécurisées, de contrôles biométriques.
Dans tous les cas de figures, il ne
faut pas s’attendre à transformer de fond en comble la politique de sécurité
informatique d’une entreprise en quelques mois. C’est progressivement que l’IAM
doit s’installer, et trouver sa place entre le périmètre de sécurité, qui doit
bien évidemment continuer d’exister et d’évoluer, et la “libre” circulation des
données.