Une surveillance indépendante des applications pour maîtriser les situations à risque non-techniques
Par leur impact médiatique, les récentes défaillances des procédures de gestion des risques informatiques dans les entreprises ont souligné l'urgence de faire un bilan. Avec la règle suivante qui se dégage : le risque zéro n'existe nulle part, quel que soit le domaine d'activité humaine.
Les récents événements ont démontré que les mesures de prévention techniques étaient inefficaces pour détecter des situations à risque qui n'affectent pas la disponibilité ou la performance du système d'information.
Inspirée des industries lourdes, certaines solutions adaptent à l'informatique le principe de la boîte noire, afin d'analyser en temps réel et de façon rétroactive les actions des utilisateurs qui constituent un risque réglementaire, juridique ou lié à l’image de l'entreprise.
Par leur impact médiatique, les récentes défaillances des procédures de gestion des risques informatiques en vigueur dans les entreprises ont souligné l'urgence de faire un bilan. Quelles qu'en soient les causes, ces incidents rappellent aux dirigeants d'entreprises une règle bien connue, si évidente que nous avons tous tendance à en sous-estimer les conséquences : le risque zéro n'existe nulle part, quel que soit le domaine d'activité humaine.
Sur le papier, le vocabulaire des gestionnaires de risques informatiques a bien intégré cette notion. Les stratégies déployées ont pour objectif de « minimiser » ou de « réduire » les risques, jamais de les éliminer totalement.
Il en est ainsi des dispositifs de sécurisation des accès, de filtrage des contenus ou bien des systèmes informatisés à base de règles métiers et de gestion des processus, conçus pour garantir une exécution des activités conforme à leur cadre réglementaire.
Quelles que soient ces stratégies, il est intéressant de noter qu'elles procèdent pour l'essentiel d'une même approche. D'une part, la réduction statistique du risque est envisagée presque exclusivement sous ses aspects techniques, en l'occurrence informatiques. D'autre part, elles sont nécessairement le résultat d'un compromis entre l'exposition au risque et la flexibilité nécessaire à l'exploitation.
La gestion du risque informatique doit en effet être replacée dans son contexte, celui d'une gouvernance d'entreprise qui prend en compte à la fois les risques réglementaires et ceux liés à l'activité et à la stratégie de l'entreprise.
Comme la gouvernance d'entreprise dont elle procède, la gestion des risques informatiques est donc une affaire d'équilibre entre la flexibilité qui permet de saisir les opportunités de marché, et la rigidité imposée par les contraintes réglementaires.
De ce point de vue, l'outil informatique peut être comparé aux installations des industries lourdes. Les industries de transformation consacrent une part non négligeable de leurs budgets de R&D à renforcer leur capacité de prévention des accidents.
L'effort porte autant sur la fiabilisation des installations que sur l'optimisation de l'organisation et la sensibilisation des employés aux consignes de sécurité.
D'emblée, cette comparaison inspire une première remarque. Quel que soit le contexte, l'efficacité des mesures de prévention des risques repose toujours pour l'essentiel sur la vigilance des utilisateurs concernés, et sur le fait qu'ils soient convaincus de l'importance de respecter les consignes, pour leur propre bien-être.
Or, l'informatique, dans ce domaine, offre un terrain particulièrement défavorable à la prise de conscience des risques. Car si le risque existe pour l'entreprise, la violation d'une règle de sécurité n'est presque jamais sanctionnée de façon aussi immédiate et concrète qu'elle peut l'être dans un contexte industriel.
En matière de prévention, la complexité même des systèmes d'information fait office d'écran. Dans la pratique, il existe toujours une bonne raison de contourner les sécurités du système d'information ou d'un logiciel métier, histoire de gagner un peu de temps, de réduire les coûts, de gagner en réactivité, ou tout autre demande des dirigeants.
Cette comparaison entre informatique et industrie lourde serait incomplète si elle ne prenait pas en compte le second volet des stratégies industrielles de réduction du risque : la maîtrise des conséquences d'un accident lorsque toutes les mesures de prévention ont échoué. Prévoir, c'est aussi se préparer au pire.
Dans un contexte industriel ou de gouvernance du système d'information, cela signifie non seulement évaluer les conséquences de chaque scénario de violation des règles de prévention, mais aussi se donner les moyens de détecter au plus tôt les situations à risque, afin de déclencher les contre-mesures appropriées.
Pour les gestionnaires de l'infrastructure du système d'information, depuis les réseaux de télécommunications jusqu'aux fermes de serveurs ou aux entrepôts de données, il n'y a là en apparence rien de bien nouveau. Nombreux sont les services informatiques qui disposent de plans de secours documentés et testés régulièrement, non seulement pour maîtriser les conséquences des défaillances physiques de l'infrastructure (perte de serveurs, ruptures de liaisons, etc.), mais aussi pour faire face aux défaillances logicielles (effacement accidentel de configuration ou de données, etc.).
Pour rester essentiels, ces dispositifs ne sont aujourd'hui plus suffisants au regard de la diversité des risques auxquels s'expose l'entreprise. Ils peuvent même constituer un piège, ou plus exactement un prisme technique déformant. Or - et les récents événements viennent d'en apporter la preuve - une part croissante des risques d'usage de l'informatique d'entreprise se situe désormais au niveau des logiques métiers, dans des situations à risque qui peuvent rester longtemps indétectées car n'affectant ni la disponibilité ni la performance du SI.
Des gestes aussi anodins en apparence que l'échange de mots de passe entre collaborateurs qui se connaissent depuis longtemps peut être la source d'une brèche majeure de sécurité. Il suffit d'imaginer que ces collaborateurs disposent de niveaux d'habilitation différents qui leur permettent de générer, de valider et d'autoriser une transaction financière.
Tant que l'entorse à la règle s'effectue dans l'intérêt de l'entreprise, par exemple pour gagner du temps, cette situation à risque ne sera pas détectée. Elle ne le sera que si une ou plusieurs actions malveillantes créent des anomalies détectables dans d'autres parties du système d'information de l'entreprise. L'entreprise doit alors être en mesure de décomposer entièrement le mécanisme ayant créé l'anomalie afin de s'assurer que l'incident constaté ne pourra pas se reproduire.
Cette méthode de la « boîte noire » bien connue des industries lourdes, du spatial ou de l'aéronautique, peut aujourd'hui être appliquée avec succès aux environnements applicatifs d'entreprise. Certaines solutions permettent de concevoir et de déployer sur l'ensemble du système d'information une batterie de « capteurs », réglés à distance pour détecter les situations à risque et alerter immédiatement les personnes concernées.
Dans l'exemple concernant l'échange des mots de passe, une solution de ce genre aurait été en mesure de considérer comme anormal que trois noms d'utilisateurs et trois mots de passe différents soient utilisés de façon répétée depuis un même ordinateur.
Le principe des boîtes noires logicielles est assez proche dans son esprit de la vidéosurveillance automatisée des lieux publics. Cela consiste à enregistrer, depuis le réseau, les flux de données entrant ou sortant d'un environnement applicatif jugé sensible.
Stockées au fil de l'eau dans un référentiel structuré, les données peuvent être analysées en temps réel et en différé, soit pour identifier une situation à risque, soit pour reconstituer l'enchaînement des événements. L'efficacité de la méthode repose en grande partie sur son indépendance vis-à-vis des applications d'entreprise. L'évaluation des situations à risque peut ainsi prendre en compte toute l'hétérogénéité des outils informatiques utilisés dans la réalisation d'un processus métier, sans constituer un obstacle à l'évolution des applications.
Tout en renforçant la fiabilité de ses procédures, l'entreprise est ainsi assurée de disposer d'un garde-fou, qui lui permettra de limiter au plus tôt les conséquences des déviations d'usage et de mieux maîtriser les conséquences des risques informatiques.