Pourquoi établir un mode de coopération plus mature entre la sécurité des SI, la DSI et les métiers ? Tout simplement pour anticiper les besoins métiers, participer à l’élaboration de propositions IT et concevoir une architecture de sécurité d’entreprise efficace. L’objectif ultime visant à préserver et à protéger ce patrimoine immatériel de l’entreprise. Une démarche plutôt centrée sur la dynamique d’évolution de l’architecture de sécurité que sur un modèle générique utilisable pour toute entreprise.

Un environnement en mutation permanente

Le besoin croissant d’échanges d’informations fiables au sein de l’entreprise et au-delà de ses frontières, la création de nouveaux espaces stratégiques et de « business models » reposant sur la collaboration entre partenaires et compétiteurs internationaux, la mutation vers une économie numérique mondiale… autant de préoccupations qui ont transformé la sécurité de l’information en enjeu stratégique majeur.
Le lien est désormais direct entre les évolutions permanentes des entreprises, les systèmes d’informations et la sécurité de l’information. En effet la plupart des projets de transformation d’entreprise impactent directement le système d’information.
Deux cas se présentent :

• soit la transformation de l’entreprise a un impact sur le système d’information existant peu évolutif. Dans ce cas, le système d’information est identifié comme un des freins aux évolutions (fusion d’entreprise, acquisition, séparation, filialisation…) ;
• soit le système d’information sert de moteur à la transformation de l’entreprise (lancement d’un site E-commerce, usage du multicanal, lancement de nouveaux services clients…).

Dans les deux cas, l’anticipation et l’adaptabilité du système d’information restent essentiels. Ces changements génèrent ainsi de nouveaux défis pour la sécurité des systèmes d’information, tant technologiques et réglementaires, qu’organisationnels.
De nombreuses évolutions ou innovations technologiques impactant déjà la sécurité des SI, parmi lesquelles :
Le Cloud Computing : l’arrivée de nouveaux modèles de consommation de services et d’infrastructures informatiques nécessite de gérer différemment la sécurité des systèmes d’information. En effet, si les différentes formes du Cloud Computing –privé, public, IaaS, PaaS, SaaS…– impactent différemment la sécurité des SI, il semble cependant que les différents modèles vont coexister dans l’entreprise. Charge aux acteurs de la sécurité de définir les principes, les guides et les règles d’usage des composants et des données, pour garantir l’interopérabilité et la sécurité de l’information.
L’ouverture des SI : l’idée consiste à identifier les limites de l’approche périmétrique qui ne permet plus de garantir la fluidité des échanges et l’agilité requise au SI tout en donnant une fausse impression de sécurité. Il s’agit plus de redéfinir les frontières que de les supprimer. Or, redéfinir régulièrement les frontières est une oeuvre de plus en plus collective, qui repose sur une vision systémique et architecturale du système d’information.
Les systèmes industriels : les composants informatiques utilisés au sein des systèmes industriels sont désormais basés sur les standards du marché informatique, avec leurs avantages (coûts, pérennité, compétence), mais également leurs règles et contraintes (rythme des versions, anomalies, vulnérabilités, menaces). Il s’agit d’un nouveau champ d’action pour la sécurité des SI, qui nécessite d’appréhender une fois encore la sécurité, avec une approche coopérative et architecturale des systèmes industriels.
Les objets communicants : il s’agit d’anticiper les nouveaux usages d’Internet et des objets (des téléphones jusqu’aux puces communicantes) et de positionner la sécurité comme un facilitateur, afin d’anticiper la sécurisation des données réparties, les interactions avec l’existant et les contraintes réglementaires.
Le Challenge vise donc à positionner efficacement la sécurité des SI sur le chemin de la transformation, mais également de construire au sein de l’entreprise cette capacité de transformation. En effet, plus que de transformer et de sécuriser le SI, les entreprises ont besoin de construire de façon durable une capacité collective à se transformer. C’est pourquoi certaines grandes entreprises et administrations mettent en place un cadre de coopération, avec pour objectif d’organiser la dynamique d’évolution du Système d’Information. L’architecture de la sécurité d’entreprise en fait partie.

Formaliser un cadre de travail pour l’architecture de sécurité

Comment mobiliser les énergies pour créer la dynamique d’évolution ? Cette démarche vise à permettre un dialogue équilibré entre les acteurs différents (métiers, utilisateurs, architectes, réalisateurs, exploitants et sécurité), à faire émerger des propositions, à prendre des décisions et à les exécuter par consentement, à conduire les évolutions d’architecture. Autant de défis qui nécessitent de changer les pratiques de management des transformations. La clé pour concrétiser et inscrire ces intentions dans la durée est de mettre progressivement en place un cadre de coopération permettant à chacun de contribuer dans une vision globale, de capitaliser et de diffuser les règles au sein des projets.

Les pratiques de la sécurité des SI et l’architecture de sécurité d’entreprise

Quand on parle de sécurité des systèmes d’information, on évoque plusieurs aspects :

• Le management de la sécurité de l’information (politique de sécurité, gestion du risque),
• L’architecture et l’expertise des composants contribuant à la sécurité (IAM, PKI, Firewalls…),
• La sécurité opérationnelle (gestion quotidienne de la sécurité, exploitation de la sécurité).

La sécurité opérationnelle consiste à mettre en oeuvre les processus définis pour assurer la sécurité de l’information.
Par exemple, l’organisation d’audits, l’attribution de droits, la configuration des firewalls ou l’analyse régulière d’indicateurs.
Cette activité est en lien direct avec le management de la sécurité qui s’assure que la sécurité opérationnelle est correctement exécutée. L’alignement de la sécurité opérationnelle sur la gestion des risques de l’entreprise est alors fondamental.
Le management de la sécurité met en oeuvre la gestion des risques visant à assurer que le niveau de sécurité reste en ligne avec la stratégie de l’entreprise, et à initier les projets nécessaires. Il revient aussi au management de la sécurité de l’information d’assurer le suivi régulier des actions, et d’élaborer les évolutions nécessaires.
Les apports de l’architecture s’évaluent au regard de la complexité, de l’impact de l’existant, et du nombre de chantiers de transformation de l’entreprise. Il est en effet souhaitable que la sécurité soit prise en compte à tous les niveaux de l’architecture de l’entreprise. Le moyen de s’en assurer est d’intégrer la sécurité comme un des éléments de la vision, des phases de conception, mais également d’accompagner les projets par des moyens adhoc (mise à disposition de composants, de modèles, d’expertises).
L’Architecture de Sécurité d’Entreprise (ASE) assure la cohérence entre ces trois activités de la sécurité des SI et les projets de transformation de l’entreprise. En effet, il ne s’agit pas de proposer et réinventer une nouvelle méthode ou un énième modèle révolutionnaire, mais bien de mettre en place ou de renforcer un cadre d’architecture proposant un ensemble d’éléments et méthodes pour construire, représenter et analyser les systèmes de l’entreprise.
Un cadre de coopération d’architecture de sécurité d’entreprise propose trois composantes :

1. un référentiel d’Architecture de Sécurité d’Entreprise
2. le processus de pilotage de la transformation
3. le cadre de capacité de transformation