mardi 12 décembre 2017

Accueil du site > Informatique > Sécurité Informatique > Vers une industrialisation sur mesure

Vers une industrialisation sur mesure

Frantz Grenier et Christophe Quester, 01 DSI

samedi 24 juin 2006, sélectionné par Spyworld

logo

Il revient au responsable de la sécurité informatique d’industrialiser la sécurisation du système d’information sans instaurer de lourdes contraintes.

« Tant que l’on n’est pas conscient des menaces, l’on vit tranquille ! », ironise Carmelo Pansera, le RSSI d’ALD Automotive, filiale de la Société Générale spécialisée dans la location automobile. Gérer la sécurité, c’est d’abord prendre conscience des risques potentiels. Mais la sécurité du système d’information s’inscrit dans un projet plus global, le plan de continuité de l’activité. La question à se poser : quels sont les risques découlant de la défaillance ou de l’indisponibilité du système d’information ?

Avant toute chose, la DSI doit permettre à la direction de l’entreprise de prendre la mesure de ces risques, de les hiérarchiser en fonction de leur importance. Surtout, elle doit s’organiser de manière à éviter qu’un événement ne vienne remettre en cause la marche de la société. A la direction générale de décider de l’affectation de moyens en fonction des risques encourus.

La sécurisation du système d’information représente une lourde tâche. Elle concerne l’ensemble de l’entreprise. « Il n’existe pas de recette miracle. Aucune politique de sécurité n’est reproductible, même entre deux sociétés évoluant dans le même secteur d’activité », signale Serge Saghroune, RSSI du groupe Accor. Seule une politique globale, lancée par la direction générale, peut être efficace.

L’hétérogénéité et l’empilement de différents dispositifs de sécurité constituent un premier obstacle. La définition d’une base technologique, diffusée ensuite dans l’ensemble de la société, paraît indispensable. Ainsi que sa remise en cause continuelle au fil de l’évolution des usages et des innovations matérielles et logicielles.

Le risque zéro demeure un objectif hors de prix

« La sécurité constitue un tout. Parler de sécurité du système d’information sans parler de sécurisation de l’activité économique n’a pas de sens. Il faut être cohérent dans les niveaux de protection que l’on veut mettre en place », prévient Marc Giraud. Le directeur architecture et systèmes du concepteur et fabricant de verres correcteurs Essilor se montre formel : l’objectif n’est pas de bâtir une nouvelle ligne Maginot.

Il s’agit de garantir la sécurité nécessaire à la continuité des processus métier. Ce n’est pas forcément évident. Selon Carmelo Pansera, « la partie la plus difficile est d’évaluer réellement le risque. Ensuite, il faut arbitrer entre le coût de la mise en place des procédures pour se prémunir de ces risques et le coût avéré ».

Le coût des mesures peut exploser si l’on cherche à approcher le risque zéro. « Le plan de continuité de l’activité représente un objectif stratégique, ce n’est pas au RSSI de décider ce qui doit être maintenu. Ou alors, il faut être très riche pour pallier tous les risques !, s’enflamme Serge Saghroune. C’est la direction générale qui produit le cahier des charges, la DSI se préoccupant de la mise en oeuvre. » Et Carmelo Pansera d’ajouter : « Si on laisse la sécurité uniquement aux mains des techniciens, tout sera doublé (procédures de sauvegarde systématique, inflation des moyens disponibles...) quelle que soit la criticité du risque. »

Yann Noblot, d’Atos Origin, a participé côté sécurité aux Jeux olympiques d’hiver de Turin, en 2006. Il présente la méthodologie employée pour préparer cet événement. « Nous avons d’abord analysé les risques auxquels nous pouvions être confrontés - virus, piratage, malveillance interne, etc. -, puis établi cinquante-deux scénarios d’attaques. Nous avons ensuite qualifié le niveau de ces risques sur une échelle allant de un à dix, puis réparti nos efforts sur les plus importants en fonction de notre budget, qui n’était pas extensible. C’était à nous de nous adapter à ces contraintes. »

Un élément d’audit pour le commissaire aux comptes

Si la sécurité du système d’information n’est qu’un élément du plan de continuité de l’activité, il n’en demeure pas moins qu’elle doit résulter d’une vision globale. Ce qui ne relève pas encore du cas général. Mais les choses évoluent. « Ce genre de réflexion est de plus en plus souvent impulsé par la direction générale », note Laurent Bellefin, responsable de la division sécurité à Solucom, un cabinet de conseil oeuvrant dans le domaine des infrastructures des systèmes d’information.

« La sécurité des systèmes d’information est maintenant identifiée comme primordiale pour assurer la sécurité générale de l’entreprise. Les obligations réglementaires se font de plus en plus pressantes, et il n’est pas rare que les commissaires aux comptes, qui prennent en considération les risques opérationnels informatiques, mettent la pression sur les DSI en auditant leur politique de sécurité. »

De plus en plus souvent, une démarche d’audit figure au sein des projets de définition des plans de continuité de l’activité. L’élaboration de ces derniers sert à repérer et à évaluer précisément les risques concernant l’ensemble du système d’information, des métiers et des sites de l’entreprise. « Ces plans se sont multipliés après le 11 septembre 2001, mais la dynamique est vite retombée », rapporte Laurent Bellefin. Réflexion faite, les grandes entreprises ont dû relativiser. « Après les attentats, l’activité de Wall Street a été interrompue pendant une semaine, alors que certaines sociétés avaient des exigences de reprise de l’activité de quatre heures », précise Pierre-Emmanuel André, responsable du département continuité d’XP Conseil (groupe Devoteam Consulting). Toutefois, on assiste à une résurgence depuis le début de l’année 2005. A l’ANPE, la réflexion sur la mise en place d’une politique globale de sécurité a commencé courant 2004.

Le responsable de la mission, Eric Grospeiller, se souvient : « L’initiative est venue de la direction générale, sous l’impulsion du DSI, avec deux niveaux de responsabilité : un responsable sécurité à la direction informatique, relayé dans chaque entité (réseau, production, études...) par des responsables locaux. Cette organisation a permis de mener en 2005 une action de sensibilisation auprès de toute la direction informatique. »

L’uniformisation des technologies et des outils demeure l’objectif prioritaire des entreprises, trop souvent affligées de systèmes d’information en forme d’usines à gaz. Témoignage d’Alain Bouillé, directeur sécurité des systèmes d’information du groupe Caisse des dépôts et consignations : « L’état actuel de la sécurité des systèmes d’information résulte d’une conception dépassée qui consistait à empiler les technologies. » Et Serge Saghroune de renchérir : « Une fois mis en place les technologies et les processus, on croit être sécurisé, c’est une erreur. »

Pour Marc Giraud, la question importante était : comment garantir, dans une entreprise dispersée géographiquement, que toutes les pratiques soient cohérentes et homogènes ? La DSI d’Essilor s’est appuyée sur la définition d’un PC présentant les mêmes contenus et les mêmes processus de mise à jour, dupliqués dans l’ensemble des sites du groupe. Pour les serveurs, la logique fut quasiment la même. Enfin, un dispositif centralisé de paramétrage, ou, à tout le moins, coordonné, des connexions à internet a été mis en place.

L’homogénéisation du parc informatique contribue à une meilleure adaptation des règles de sécurité. « Mais si on se trompe, on se trompe partout ! », s’exclame Marc Giraud. Pour Carmelo Pansera, la problématique paraît un peu différente. Avec ­trente-deux filiales en Europe, les besoins ne sont pas identiques. « Nous avons mis en place un référentiel documentaire sur la sécurité. A partir de celui-ci, nous déclinons les solutions techniques. »

Scruter chaque projet sous l’angle de la sécurité, sans paranoïa

Uniformisation, référentiel technique... La sécurité du système d’information doit s’industrialiser, pas forcément se standardiser. « Nous devons réfléchir en permanence à la sécurité. Un effort de vigilance constant reste nécessaire pour se mettre à niveau », indique Serge Saghroune.

L’idéal serait d’étudier chaque nouveau projet sous l’angle de la sécurité : « Penser plan de continuité de l’activité pour chaque changement de fonction applicative stratégique, préconise Carmelo Pansera, envisager toutes les technologies disponibles, mais en limitant le risque. Pour le Wi-Fi, trouvons des solutions pour l’adopter plutôt que de se contenter d’affirmer que c’est dangereux. Il se trouvera toujours quelqu’un pour installer un réseau dans son coin. »

Serge Saghroune estime que les dispositifs de sécurité contraignants inciteraient les utilisateurs à les contourner. Pis : « A trop en faire, on finit par bloquer le business. » Quand trop de précautions nuisent gravement à la sécurité...

Vigie et arbitre

Centraliser, industrialiser, mais pas forcément standardiser, voilà la délicate équation soumise au jugement du responsable de la sécurité du système d’information. Chargé d’évaluer les risques et d’arbitrer entre les métiers de sa firme, le RSSI dépend désormais souvent de la direction générale, à laquelle revient la promotion du projet de sécurité et la fixation des priorités.

ALD Automotive

Activité : financement et gestion de parcs automobiles (groupe Société Générale)

Directeur général : Jean-François Chanal

CA : non communiqué

Effectif : 3 000 personnes (DSI holding : 60 à 70 personnes)

Parc automobile : 600 000 voitures gérées

Site Internet : www.aldautomotive.fr

Accor

Activité : hôtellerie et services de restauration

Directeur général : Gilles Pélisson

CA 2005 : 7,6 milliards d’euros

Effectif : 168 000 personnes

Site Internet : www.accor.com

Groupe CDC

Activité : institution financière publique

Directeur général : Francis Mayer

Fonds propres 2004 : 14,8 milliards d’euros

Effectif : 35 900 personnes (un GIE gère l’informatique du groupe)

Site Internet : www.caissedesdepots.fr


Envoyer : Newsletter Imprimer : Imprimer Format PDF : Enregistrer au format PDF PartagerPartager :