Lors du forum du Cert-IST, les professionnels se sont penchés sur les nouveaux problèmes liés à l'élargissement des frontières de l'entreprise.
Pour son dixième anniversaire, le Cert-IST réunissait ce 9 juin 2009, lors de son forum annuel, un parterre de DSI et de responsables sécurité (RSSI) de grands groupes français autour du thème : « la sécurité face aux nouvelles frontières de l'entreprise ».
Cette association de type loi 1901, constituée de grands acteurs des services et de l'industrie, dont la mission est d'alerter en temps réel ses membres sur les nouvelles vulnérabilités semble aujourd'hui face à une nouvelle problématique : comment sécuriser un système d'information dont le périmètre est de plus en plus flottant et amovible en fonction des usages et des services externalisés ?
« Téléphonie sur IP, nomadisme, réseaux sociaux, cloud computing et SaaS sont autant de nouveaux besoins des entreprises et de leurs salariés, qui déplacent les frontières traditionnelles du système d'exploitation et qui soulèvent de nouvelles problématiques de sécurité, en rupture avec celles que l'on a pu connaître pendant une vingtaine d'années », analyse Pierre Klein de Sanofi Aventis et président du Cert-IST.
Pour Philippe Bourgeois, membre du Cert-IST, les choses sont un peu plus fines : « Il y a les “anciennes nouvelles” frontières, apportées par le nomadisme et la téléphonie sur IP, que les directions ont su appréhender car elles ont gardé la maîtrise des actifs et des moyens mis en œuvre pour développer ces usages. Et il y a les nouvelles frontières apportées par les services en ligne, comme WebEx, imposées par les fournisseurs ou les clients et les plates-formes de cloud computing ou de Saas, plébiscitées par les collaborateurs en interne. Dans les deux cas, il y a délégation pour l'entreprise d'une partie de ses moyens informatiques à un tiers et perte de contrôle. »
La sécurité des plate-formes Web au cœur des débats
Quel est le niveau de sécurité du fournisseur de services de Saas et de cloud ? Quels sont ses processus de patch ? Comment collaborer avec celui-ci en cas d'incident ? Telles sont aujourd'hui les questions auxquelles se trouve confronté un responsable sécurité qui envisage d'externaliser une partie de ses ressources informatiques et qui n'ont, pour l'heure, bien souvent aucune réponse.
De son côté Hugh Penri-William, membre de l'Information Security Forum (ISF) regrette que des entreprises comme Google ou Amazon ne fassent pas partie de son association ou d'une association similaire comme le Cert-IST. Pour mémoire, l'ISF regroupe environ 300 membres, RSSI et Riskmanager des plus grosses entreprises au niveau mondial. Parmi ceux-ci, 91 % estiment que le cloud computing accroît les menaces de sécurité et ne sont pas prêts à l'adopter. Tandis que pour le capitaine Olivier Nahel de l'OCLCTIC (Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication), « le cloud computing pose des soucis pour les procédures de perquisition de données, qui peuvent finalement être situées au-delà des frontières françaises et qui plus est sur des serveurs différents ».
De son côté, Philippe Bourgeois (Cert-IST) estime que « le cloud computing transfère des ressources mais également des responsabilités. Il déplace la problématique de la maîtrise du risque d'une mise en œuvre technique à la mise en place d'un engagement contractuel avec son fournisseur afin de pouvoir se retourner en cas de problème. »
On l'aura compris le cloud ne convainc pas encore les experts en sécurité. « Il y a une telle variété au niveau des offres de cloud computing, les plates-formes ne sont tellement pas stabilisées qu'il est illusoire de vouloir déterminer un niveau d'évaluation formel de leur sécurité », résume Hervé Hosy de l'OPPIDA. Alors laissons lui encore un peu de temps...
Source : 01Net.com Par : Bertrand Braux
Aucun commentaire:
Publier un commentaire