Dans les parties précédentes, vous avez découvert qu’un SI revêt un caractère complexe dans sa conception, mais également dans son exploitation quotidienne. La multitude des composants et des acteurs complexifie l’approche sécuritaire des SI. En effet, vous avez sûrement déjà entendu le terme de cybersécurité.
L’Agence nationale de sécurité des systèmes d’information (ANSSI) définit la cybersécurité comme l’état recherché pour un SI, lui permettant de résister à des événements issus du cyberespace, susceptibles de compromettre la disponibilité, l’intégrité ou la confidentialité des données stockées, traitées ou transmises, et des services connexes que ces systèmes offrent ou qu’ils rendent accessibles.
La cybersécurité fait appel à des techniques de sécurité des systèmes d’information, et s’appuie sur la lutte contre la cybercriminalité et sur la mise en place d’une cyberdéfense.
En effet, la sécurité des SI est challengée par différents axes :
les évolutions techniques issues du Cloud ;
la réglementation ;
la mobilité des supports ;
l’Internet des objets (ou IoT) ;
les hommes eux-mêmes.
Regardons ces différents axes en détail.
La sécurité sur le Cloud
Commençons par l’impact et les contraintes nés du Cloud. En effet, l'utilisation de plus en plus fréquente de solution Cloud pour déployer tout ou partie d’un SI fait apparaître de nouveaux risques de sécurité : des risques sur les données et les infrastructures, par exemple.
Pour atténuer cette menace, les différents acteurs du Cloud (Microsoft, Google, Salesforce) investissent massivement dans la sécurité des solutions qu’ils fournissent, afin de s’assurer que les données soient bien protégées.
En 2009, le groupe « Cloud Security Alliance » a été formé pour promouvoir les bons usages en matière de sécurité dans le milieu du Cloud. Depuis, ce groupe compte pas loin de 40 000 membres.
La sécurité des données
La sécurité des données dans le Cloud est un élément important. Pourquoi ? Parce que les entreprises utilisant le Cloud placent des données sur des serveurs souvent à l’autre bout de la planète, sans véritable contrôle physique sur ces dernières.
C’est d’autant plus important que cela reste le point bloquant dans l’adoption d’une solution Cloud.
En effet, il y a 3 contraintes fortes qui impactent la sécurité des données avec le Cloud :
la non-interopérabilité des données ;
l’intégrité ;
la confidentialité.
La non-interopérabilité
En effet, la plupart des fournisseurs Cloud restent non interopérables, c'est-à-dire que lorsqu'une DSI décide d’exploiter les services d’un fournisseur Cloud comme Amazon Web Service, elle lui donne définitivement et entièrement la possession de certaines données.
Il existe pourtant des normes telles que la CDMI (Cloud Data Management Interface) qui décrit un format d’échange permettant de déplacer des données d’un environnement Cloud à un autre.
L’intégrité
Lorsqu'une DSI dépose des données dans le Cloud, il est nécessaire qu’elle assure l'intégrité des données pendant leur transfert et leur stockage. En effet, l’intégrité est la propriété qui assure qu’une information n'a pas été modifiée ou détruite de façon non autorisée. Il faut donc que seules les opérations autorisées soient réalisées. À l’heure actuelle, aucun standard commun entre les fournisseurs de Cloud n’a émergé.
La confidentialité des données
Enfin, dernier point, la confidentialité des données. Le propriétaire des données doit savoir quelles informations sont gardées et dans certains cas même, être capable de demander leur suppression. C’est par exemple le cas des données bancaires et de la trace des transactions qui doivent pouvoir être transférées aux autorités et personnes chargées des régulations par les SI des entreprises bancaires.
La sécurité des infrastructures
Comme vous l’avez vu dans la partie précédente, les infrastructures des SI peuvent être physiques et virtuelles. Vous l’aurez bien compris, la sécurité physique des infrastructures est rompue avec le modèle du Cloud, notamment à cause de la notion de partage de ressources et de virtualisation.
Le fournisseur met en place des patchs de sécurité, c’est-à-dire des correctifs logiciels publiés par les éditeurs pour corriger des failles de sécurité, et teste les impacts de l'installation de ceux-ci.
Les contraintes de sécurité de la réglementation
Avec l’avènement du Cloud, les données sont donc stockées chez le fournisseur (AWS, Azure). Ce dernier peut être implanté en France et / ou de nationalité étrangère.
Par exemple, votre entreprise française a décidé d’utiliser la solution de stockage de fichier dans le Cloud disponible chez OVH (service appelé hubic). OVH est une entreprise française implantée en Irlande.
Il est important dans ce cas que vous sachiez que les lois concernant le transfert de données, ainsi que la conservation des données, peuvent différer d'un pays à l'autre. En somme, votre entreprise française sera impactée par la réglementation du pays de votre fournisseur, ici OVH.
En effet, dans le cas où des données violent la loi de l’État où elles résident, il y a un risque potentiel de saisie par le gouvernement. Donc, dans ce cas, ce sera la réglementation du pays où réside OVH qui fera foi.
Il y a 2 grandes réglementations dans le domaine :
c’est par exemple le cas du CLOUD Act aux États-Unis ;
RGPD en Europe.
Très brièvement, Le CLOUD Act (ou Clarifying Lawful Overseas Use of Data Act, en anglais) est une loi votée par le Congrès américain afin de faciliter l'obtention, pour l'administration américaine, de données stockées ou transitant à l'étranger, via notamment les opérateurs et fournisseurs de services en ligne. Il faut savoir que cette loi entre en contradiction directe avec notre réglementation européenne, le RGPD. Voyons cela !
Le RGPD
Le RGPD est l’abréviation de Règlement général sur la protection des données (en anglais, on parlera de GDPR pour General Data Protection Regulation). C’est un texte européen contenant les règles permettant de protéger les données personnelles. Ce texte a été adopté en avril 2016 et est entré en vigueur le 25 mai 2018.
Le RGPD a pour vocation à mieux encadrer et protéger vos données personnelles. Il permettra, si tout va bien, d'encadrer :
la collecte ;
le traitement ;
ainsi que leur utilisation.
En somme, lorsque vous naviguez sur le site d’une organisation, cette dernière, si elle respecte le RGPD, aura fait le nécessaire afin que toute info personnelle vous concernant qui aura pu être collectée soit protégée. Ces mêmes données personnelles ne pourront pas être, par exemple, revendues à d’autres entités comme des organisations, afin de vous cibler comme prospect.
Toute organisation qui collecte de la donnée devra se mettre en conformité, en informant sur qui collecte les données :
combien de temps ces données sont conservées ;
pourquoi ces données sont collectées ;
et devra rappeler à l’utilisateur ses droits relatifs à ses données personnelles.
Quel est donc l’impact de cette contrainte sur le SI par exemple ?
Eh bien, tout d’abord, il est indispensable que toute organisation ou entreprise se mette en conformité. En effet, le règlement prévoit des sanctions particulièrement sévères,, et les amendes envisagées sont très élevées. Il est par exemple question d’amendes de plusieurs millions d’euros ou encore du prélèvement d’environ 3 à 4 % sur le montant du chiffre d’affaires à envergure mondiale pour une organisation.
Ensuite, si vous êtes futur gestionnaire de SI, vous devrez donc prendre en considération les origines de vos fournisseurs lorsque vous définirez la stratégie de conception de la SI.
En outre, le RGPD impose aux organisations la nomination d’un délégué à la protection des données (DPO, en anglais, pour Data Privacy Officer). Le DPO a pour objectif de s’assurer de la conformité de l’organisation au RGPD.
Ce dispositif réglementaire est extrêmement contraignant pour les organisations, à tel point que des entreprises comme Facebook et Microsoft ont annoncé appliquer ce règlement partout dans le monde, alors même que ce sont des organisations américaines soumises, en premier lieu, au CLOUD Act.
La mobilité des usages
Après des débuts modestes, la mobilité connaît un essor sans précédent, portée par des terminaux comme les smartphones, tablettes et autres appareils toujours plus performants, grâce aux réseaux 3G et 4G (la 5G arrive !) ainsi qu’à l’explosion d’applications innovantes. Grâce à ces technologies, vous pouvez utiliser Internet et vos applications, depuis n’importe où ! De chez vous sur votre ordinateur, au métro avec votre smartphone !
Vous et moi, nous sommes aujourd’hui friands de mobilité dans notre vie personnelle et, de plus en plus, nous la réclamons pour notre vie professionnelle.
Si la mobilité sert les organisations, notamment dans la productivité pendant les déplacements et la communication des salariés, elle présente aussi des défis qu’il faut relever :
un défi de sécurité ;
un défi de coût.
Le défi de sécurité
Auparavant, les entreprises pouvaient gérer les risques en fournissant aux employés un appareil unique et sécurisé qui permettait d’accéder aux ressources informatiques de l’organisation.
À présent, la plupart des employés utilisent un smartphone ou une tablette tant pour leur usage personnel que professionnel. Évidemment, cette prolifération de terminaux sans fil étend la portée du SI de l’organisation, c’est-à-dire que le SI de votre entreprise est disponible chez vous maintenant. Pensez au télétravail !
Il est donc important pour une organisation de gérer à la fois les terminaux, les applications déployées sur ces terminaux, mais aussi les informations.
La gestion de la mobilité d’organisation (Enterprise Mobility Management, EMM) est une approche globale pour sécuriser et permettre l’utilisation, par les employés, de smartphones et de tablettes dans leur cadre professionnel.
Le défi du coût
L’autre défi lié à la mobilité est celui du coût. En effet, la mobilité représente un coût élevé pour une organisation : des coûts de matériel et les coûts d’infrastructure.
Tout d’abord, les coûts des appareils et de la connectivité varient, mais ils sont généralement de l’ordre de 450 à 600 euros par an pour un iPad ou une tablette équivalente.
Il faut également inclure les coûts d’infrastructure qui comprennent des éléments techniques tels que :
la gestion des périphériques mobiles ;
des boîtes mails à la capacité élargie ;
et des capacités d’assistance.
Au total, généralement entre 120 euros et 200 euros par appareil et par an.
L’essentiel des ressources peut alors se concentrer sur les segments à plus forte valeur ajoutée, par exemple en fournissant aux forces de vente des dispositifs et un ensemble d’applications personnalisées qui les aideront à générer des revenus.
L’Internet des objets connectés (ou IoT)
Une autre contrainte sécuritaire des SI vient de l’Internet des objets (en anglais, on parle d'Internet Of Things). C’est la matérialisation d’Internet dans le monde réel. Il concerne tous les objets, voitures, bâtiments et autres éléments reliés à Internet par une puce électronique, un capteur, une connectivité réseau leur permettant de communiquer entre eux, de collecter et d’échanger des données.
Les domaines d'application sont très larges, comme la gestion des déchets, l’achat mobile, les services d’urgence.
On distingue différentes catégories d’applications :
transport et logistique : voitures, trains, bus et vélos se voient de plus en plus dotés de capteurs et d'une logique de traitement des informations. Les systèmes d’étiquetage comme la RFID, par exemple ;
santé : les objets connectés permettent de suivre et identifier en temps réel et à la demande outils, équipement et médicaments. Avoir des informations instantanément sur un patient peut souvent être vital ;
environnement dit intelligent : des capteurs distribués dans plusieurs maisons et bureaux peuvent augmenter le confort dans ces environnements : le chauffage peut s'adapter à la météo, l'éclairage suivre l'horaire et la position du soleil ;
vie sociale : il s’agit ici des applications qui permettent à l'utilisateur d'interagir avec les autres pour entretenir et construire des relations. Par exemple, les objets connectés pourraient déclencher automatiquement l'envoi de messages à nos amis pour leur communiquer ce que nous sommes en train de faire et où nous sommes ;
marketing : on trouve dans ce domaine des applications propres à l'amélioration de la connaissance des clients. Ainsi on voit fleurir sur les aires d'autoroute, sur des salons, auprès des caisses de supermarché, des boîtiers qui invitent le client ou l'utilisateur à exprimer son avis sur la prestation. Ces applications permettent de récupérer de précieuses informations pour l'amélioration du service, et cela de manière parfaitement anonyme ;
signalement : dans ce domaine, on trouve des systèmes permettant à un opérateur ou à un utilisateur de signaler un dysfonctionnement. Dans une copropriété ou un immeuble, un boîtier permettant de signaler à la régie gestionnaire un dysfonctionnement de l'ascenseur, un problème de propreté ou la nécessité de tondre la pelouse utilisera les technologies de l’IoT pour sa communication.
Par exemple, les dispositifs commandés par ordinateur dans les automobiles tels que les freins, le moteur, les serrures, la chaleur et le tableau de bord seraient considérés comme vulnérables face aux hackers qui ont accès à l'ordinateur de bord du véhicule.
L'importance de la sécurité des objets connectés en constitue un marché très lucratif. Les analystes valorisent ce marché à 700 millions de dollars d’ici 2020.
Les contraintes humaines
La dernière contrainte de sécurité que les experts (ou peut-être vous ! ;)) devront prendre en compte lors de la gestion de leur SI est humaine. En effet, il y a 2 grands sujets :
le hacking de votre SI ;
les erreurs humaines des salariés des équipes métiers (autres que la DSI).
Commençons par les problèmes de hacking portés par des hackers ou les pirates.
Le hacking
Un hacker est un spécialiste qui recherche les moyens de contourner les protections logicielles et matérielles. Sa motivation peut être de :
signaler les failles trouvées au propriétaire du système concerné principalement dans une démarche d’amélioration ;
tirer profit de la faille de sécurité ;
utiliser la faille dans une démarche militante.
Le SI doit donc être résilient face à ces menaces.
Les utilisateurs eux-mêmes
Enfin, la sensibilisation des utilisateurs du SI autour des risques et des mauvaises habitudes (politique sur les mots de passe par exemple) est un enjeu majeur pour les DSI. En effet, des études montrent que la majorité des incidents de sécurité sur le SI est liée à une intervention humaine. Les entreprises visent maintenant à développer l'hygiène cybernétique de leur utilisateur.
Dans ce chapitre, nous avons vu quels sont les enjeux de sécurité qui façonnent l’évolution du SI. Dans le prochain chapitre, je vous propose de mettre en lumière une autre tendance forte qui contraint son évolution : la transformation agile.
En résumé
Les contraintes sécuritaires à prendre en compte lors de la gestion d’une SI sont : le Cloud, la réglementation, la mobilité des usages, l’Internet des objets connectés ou IoT, les hommes avec les hackers et les utilisateurs du SI.
Déployer un SI en utilisant des composants Cloud tel que le IaaS, le PaaS ou le SaaS amène obligatoirement des questions sur la sécurité des données et des infrastructures Cloud.
Les données collectées et stockées par le SI sont soumises à des juridictions plus ou moins contraignantes. En Europe, le RGPD (Règlement général sur la protection des données) permet d'encadrer et de mieux protéger les données.
La mobilité en puissance des usages mobiles étend la portée du SI de l’organisation. Il est donc important de gérer à la fois les terminaux, les applications et les données stockées sur les terminaux.
L’émergence de l’IoT s’accompagne de défi de sécurité qui est aujourd’hui sous-estimé.
La vaste majorité des incidents de sécurité est due à des interventions humaines : externes avec les hackers ou bien internes à l’entreprise avec ses utilisateurs.
