Le Responsable de Service Informatique est-il voué à être un « empêcheur de tourner en rond ?»

L’image est souvent ancrée dans les stéréotypes de l’entreprise : le RSSI est celui qui dit «non», l’empêcheur de tourner en rond, déconnecté des enjeux business de l’entreprise.

Garant de la protection des actifs informationnels de l'entreprise, le responsable en sécurité informatique est en effet sollicité sur l'ensemble des projets informatiques et techniques de l'entreprise afin de donner son aval sur les aspects sécuritaires...

Allier sécurité et business : le dilemme du RSSI
Être en charge de la sécurité des systèmes d'information dans une entreprise peut s’avérer être un exercice de style délicat. Une position trop ferme de sa part peut être perçue comme une entrave à la bonne marche des affaires de l'entreprise et chaque chef de projet ou chef de service va alors s'employer à contourner ou minimiser les décisions du département sécurité. Au final, le RSSI ne gagne donc rien à trop dire non... Plus que jamais, il apparaît nécessaire de faire évoluer les principes de sécurité des systèmes d'information pour les adapter aux nouveaux usages et aux nouvelles architectures.

L’avènement du cloud computing : une menace pour la sécurité des entreprises

Naguère, la sécurité était principalement périmétrique : les applications et systèmes étaient disponibles à 90% depuis les locaux de l'entreprise, sauf pour quelques populations particulières et quelques applications ciblées. Verrouiller les accès revenait alors le plus souvent à s'assurer de la sécurité physique et logique des accès aux systèmes  (aux locaux et aux zones dédiées DMZ pour les accès externes).

Avec l’arrivée du Cloud Computing, cette vision centrée sur les technologies a volé en éclat. La plupart des services est maintenant opéré depuis l'extérieur de l'entreprise et ceci pour le plus grand bonheur des directions métiers. Les bénéfices de cette nouvelle technologie sont en effet multiples : agilité et rapidité pour la mise en œuvre des services, services accessibles depuis tout point d'accès internet, lissage des coûts. Autant d’arguments qui fond du Cloud Computing, non pas une mode, mais l'instrument principal de la transformation numérique des entreprises et un levier important de compétitivité.
Du point de vue de la sécurité, les impacts sont également nombreux :
  • les actifs de l'entreprise sont opérés par des tiers, parfois multi-tenants,
  • la notion de zone de confiance historique (interne versus externe) devient obsolète,
  • le nombre d'applications utilisées par les entreprises explose.

Comment s’adapter face à cette transformation numérique ?

La fonction du RSSI a donc été amenée à évoluer avec l’avènement du Cloud. Son premier défi est à présent de garder le contrôle sur les actifs hébergés en mode Cloud, ce qui suppose une connaissance fine de son environnement. Il devra alors réaliser une cartographie complète des actifs et données de l'entreprise, les classifier en termes de DICT (ce qui permettra de déterminer leur échelle d’importance) et y associer une analyse de risques (quelles sont les données qui ne pourront jamais être hébergées sur le Cloud, quelles sont celles qui vont nécessiter des procédures de contrôle compensatoires, quelles sont celles pour lesquels la politique de sécurité standard peut s'appliquer ?).
La deuxième phase est de transformer la façon dont la sécurité opérationnelle est opérée. Puisqu’avec le Cloud Computing, l’entreprise n’est plus en charge du maintien en conditions opérationnelles des systèmes, le RSSI devra, pour assurer la sécurité, vérifier que le prestataire choisi, est un prestataire de confiance, qui va lui même opérer dans de bonnes conditions de sécurité ses propres systèmes. Pour cela, rien de plus simple, il suffit de s’assurer des normes et des certifications de celui-ci, comme ISO 27001 ou ISAE-3402.
Enfin, il sera nécessaire d'industrialiser la façon dont la sécurité applicative est opérée au sein de l'entreprise sur ces applications. Une phase qui peut s’avérer critique… En effet, simple consommateur de services, l'entreprise va être néanmoins en charge de la configuration et de la gestion des comptes d'accès aux différentes applications. Cette opération est généralement de la responsabilité des métiers, avec les problèmes que l'on connait : les métiers ne disposent pas d'une vision claire des impacts de la configuration des droits dans les systèmes. Des processus mal rodés induisent de nombreux droits résiduels dans les applications (comptes actifs alors que les personnes sont parties ou ont changé de fonction...).
Le résultat constaté aujourd’hui est que pas moins de 15% des comptes d'accès dans les applications critiques et sensibles des entreprises sont orphelins : comptes appartenant à des personnes qui ont quitté l'entreprise, dont les propriétaires ont  été mutés, comptes temporaires, erreurs techniques ... Les conséquences peuvent s’avérer critiques dans le Cloud. On peut imaginer qu’un ancien commercial parti à la concurrence puisse toujours accéder à la base clients de son ancienne entreprise ou qu’un ancien responsable achat consulte les plateformes d’enchères inversées de son ancien employeur.
Avec son modèle de facturation à l’usage, il est par ailleurs peu vraisemblable que le fournisseur Cloud prévienne son client : chaque compte déclaré lui rapportant de l'argent chaque mois, qu'il soit utilisé ou non, chaque problème de qualité est rentable !

L’approche IAM : la solution ?

Traditionnellement cette problématique de la gestion des droits et des accès est dévolu à des produits de "Gestion des Identités et des Accès". Depuis les 15 dernières années, ces solutions ont eu du mal à faire leur preuve... longs et coûteux, ces projets ont le plus souvent accouché de souris : gestion de quelques systèmes centraux uniquement, processus complexes, valeur axée principalement sur le département IT. Malgré de nombreux déploiements IAM, les principaux problèmes constatés lors d'audit externes restent les comptes d'accès résiduels, les droits d'accès excessifs et les droits d'accès incompatibles dans les applications (source Deloitte, étude FSI security survey 2012). A l'heure de l'internet et du Cloud Computing, l'approche IAM basée sur le branchement dans les applications,  des processus de validation complexes et des contrôles préemptifs ne fonctionne donc tout simplement plus : la rapidité de mise en place et la volatilité des applications n'est plus compatible avec ce modèle.

Le cabinet d'analystes Gartner prédit que d'ici 2020, plus de 80 % des entreprises ouvriront des accès sans restrictions à leurs employés aux ressources non critiques de l'entreprise. Ce taux est inférieur à 5 % aujourd'hui. C'est la fin du principe du moindre privilège à tout prix et le démarrage d'une nouvelle approche de la sécurité basée sur la responsabilisation des individus.
Pourquoi en effet s'acharner à infantiliser les collaborateurs de l'entreprise et entrer dans une logique du tout restrictif alors même que, sous le couvert d'une bonne classification des données, il est beaucoup plus facile et beaucoup plus agile de laisser aux collaborateurs leur libre arbitre sur les données et applications auxquels ils peuvent accéder ? Tout le monde y gagne : les métiers sont enfin responsabilisés et les processus sont simplifiés et donc efficaces.
Encore faut-il s'assurer que les risques sont sous contrôle et que les contraintes réglementaires sont appliquées. Il ne s'agit pas uniquement d'ouvrir les accès sans autre forme de procès mais bien de remplacer la majorité des processus de validation d’accès, lourds et rigides, par un contrôle continu des droits d’accès efficace. Les processus de validation d’accès préemptifs restant réservés aux actifs les plus critiques.
La bonne nouvelle est que la mise en place de contrôles a posteriori est infiniment plus simple, plus rapide et moins coûteuse que le déploiement de systèmes IAM. Le plus souvent non connectés aux systèmes cibles, les solutions de contrôle corrèlent les données quelque soit leur provenance et leur format. Plus de risque donc de ne pas pouvoir prendre en compte tel ou tel système Cloud.
Les capacités d’analyse de ces solutions permettent en outre de mettre en évidence les situations anormales : violation des principes de sécurité, droits ou actions atypiques, …
Cela peut être la clé d'un fonctionnement efficace de l'entreprise numérique de demain : un fonctionnement basé sur la confiance, la responsabilisation couplé à la généralisation des contrôles, avec à la clé enfin un RSSI qui fait oui !