La sécurité des systèmes d’information, un enjeu majeur pour les grandes entreprises, est parfois ressentie comme un frein à l’activité métier. C’est pourquoi elle doit aujourd’hui être repensée pour autoriser une plus grande ouverture du système d’information. Choisir un modèle de sécurité devient alors une étape essentielle pour réaliser cet objectif. 

La stratégie du château fort

Aujourd’hui, le système d’information des grandes entreprises repose sur une protection périmétrique. Dans cette approche, un réseau qualifié d’« interne » regroupe l’ensemble des réseaux locaux et des réseaux d’interconnexions longue distance. Cet espace permet la communication entre tous les éléments du système d’information. Des serveurs centraux localisés dans les centres serveurs rendent les services transverses à l’entreprise (annuaire, messagerie, applications métiers…). Malgré une forte tendance à la centralisation, des ressources restent souvent déployées en local sur les sites distants (serveurs de fichiers, impression…).
Une ou plusieurs plateformes d’interconnexion externe assurent les communications avec l’extérieur. En outre, elles permettent les échanges avec des partenaires et les employés nomades, via une utilisation de plus en plus forte d’Internet La sécurité du réseau de l’organisation est assurée par un contrôle des flux entre le monde « interne » et le monde « externe ». Ce modèle de sécurité périmétrique est également baptisé « modèle du château fort ».

La confiance repose sur l’existence d’une muraille imparable : le pare-feu qui assure le filtrage des flux. Au fil des années, d’autres mécanismes de sécurité sont venus s’ajouter afin de renforcer la « muraille » : reverse-proxies, outils de détection d’intrusion ou encore filtrage d’URL. Par ailleurs, les besoins d’échanges avec les partenaires ont amené la création de zones démilitarisées (DMZ). Sorte de sas entre le monde interne et externe, ces dernières hébergent les systèmes exposés à l’extérieur du réseau de l’entreprise.

L’analogie avec le château fort est criante : toute personne située à l’intérieur de la muraille est considérée fiable, et toute personne extérieure suspecte. Cette différenciation a bien souvent conduit à la chute de nombreuses forteresses : une fois à l’intérieur, un intrus ne pouvait pas être détecté et disposait d’un large champ d’action.

Un modèle de sécurité actuellement basé sur le concept de protection périmétrique

Les fortifications se fissurent et ne protègent pas des nouvelles menaces

Aujourd’hui cette approche de la sécurité atteint ses limites. Le fait de concentrer la sécurité en un point unique du réseau impose des restrictions fortes :

• Une accumulation de contraintes pour l’utilisateur final : difficulté d’accès au système d’information durant les déplacements, non cohérence des données entre ce qui est vu en interne et en situation de mobilité, services et applications non disponibles…
• Un niveau de sécurité hétérogène revu pour chaque projet : la publication vers l’extérieur de nouvelles applications oblige à concevoir des architectures spécifiques, qui requièrent souvent la duplication des systèmes concernés.
• Un suivi de l’efficacité difficile et une administration complexe : principalement du fait de la multiplication des équipements et des technologies déployées.

D’autre part, malgré les efforts consentis ces dernières années, les incidents de sécurité sont encore courants dans les systèmes d’informations. Les dernières études montrent bien l’évolution des menaces sur deux axes :

• Une professionnalisation des attaques : l’époque des virus très médiatique est aujourd’hui révolue, les personnes malveillantes qui attaquent les systèmes d’information le font dans un but lucratif et ne recherchent pas la publicité de leurs actes.
• Une augmentation des attaques ou incidents internes : aujourd’hui la majorité des incidents de sécurité (80% selon les dernières statistiques) provient de l’intérieur du réseau de l’entreprise. Ils peuvent être le fait d’employés, mais pas uniquement. En effet le réseau de l’entreprise est de plus en plus ouvert vers l’extérieur et de nombreux partenaires et/ou prestataires sont présents dans les locaux de l’entreprise.