Gestion des accès et des identités : se concentrer sur la donnée

L’entreprise hyper-connectée est en interaction permanente avec ses partenaires, clients et collaborateurs. Une masse critique d’échanges de données et parmi elles, les données sensibles et confidentielles, est amenée à quitter quotidiennement son périmètre de sécurité.

Afin d’en réduire les risques de compromission, la donnée doit disposer de son propre bouclier.

La sécurité périmétrique : inadaptée à la circulation du flux

Il est aujourd’hui exclu pour une entreprise de se passer des outils de productivité à sa disposition sur le marché. Le travail à distance et la mobilité, le Cloud, l’interconnexion avec les fournisseurs et les clients sont des solutions massivement adoptées. Des outils qui entraînent dans leur sillage la nécessité de repenser profondément la sécurité des données produites, dès lors qu’elles sont destinées à être accessibles. Le système d’information et sa sécurité doivent donc être pensés au regard de cette accessibilité.
Or, la conception de la sécurité informatique telle qu’on l’entend aujourd’hui est une sécurité réseau. C’est-à-dire pensée en termes de périmètres de sécurité, dans lesquels la donnée est protégée. A contrario, une fois hors de son périmètre, la donnée devient vulnérable. Or, elle ne peut plus le rester dans ce contexte d’interopérabilité et d’échanges permanents.
Tel le romain quittant l’enceinte des remparts pour partir en campagne, la donnée, privée de sécurité périmétrique, doit pouvoir disposer de l’arsenal nécessaire à sa propre protection : un bouclier et un signe de reconnaissance.

Une nécessaire gestion des identités au niveau de la donnée

En guise de bouclier, il s’agit de procéder au chiffrement de la donnée. La donnée ainsi cryptée peut être stockée dans le Cloud, copiée sur une clé, transférée sur un terminal mobile et diffusée aux partenaires, minimisant les risques liés à sa perte ou son interception.

Le signe de reconnaissance quant à lui relève de la gestion des identités et des accès (IAM – Identity and Access Management), dont le projet requiert une attention particulière. Et certainement avec elle, un état d’esprit spécifique. La démarche à ce stade est organisationnelle avant d’être technique puisqu’elle implique que l’entreprise conçoive son projet d’IAM en fonction des identités et des rôles attribués à chacun au regard de la donnée, et non plus en fonction d’un périmètre de sécurité. La donnée (ou un paquet de données) devient un micro-périmètre, auquel sont associés une identité et un droit.
Le cryptage en amont ou en aval de sortie du flux, combiné au projet global d’IAM centré sur la notion d’accessibilité de la donnée, assure à l’entreprise un gain de sécurité par ailleurs évolutif. En effet, le choix d’une ouverture vers un mode SaaS sera facilité puisque la politique de sécurité porte dorénavant sur le flux et non plus uniquement sur un périmètre.  

Un projet en plusieurs étapes

L’encryptage de la donnée et la finesse du contrôle d’accès conduisent tôt ou tard à s’orienter vers une solution d’authentification unique (SSO). C’est d’autant plus pertinent que les acteurs de l’entreprise et les partenaires auront à se connecter à des plateformes toujours plus nombreuses, multipliant les référentiels d’authentification. Ceci implique d’ailleurs de privilégier les standards afin d’opter pour une solution SSO capable de les intégrer tous et en toute transparence.

A ce déploiement, s’ajoutera la question du niveau de contrôle de l’authentification, au travers de certificats voire, notamment pour les grands comptes et certaines industries hautement sécurisées, de contrôles biométriques.
Dans tous les cas de figures, il ne faut pas s’attendre à transformer de fond en comble la politique de sécurité informatique d’une entreprise en quelques mois. C’est progressivement que l’IAM doit s’installer, et trouver sa place entre le périmètre de sécurité, qui doit bien évidemment continuer d’exister et d’évoluer, et la “libre” circulation des données.