Sommaire :
Et si le Cloud Computing était le principal allié des RSSI, Responsables
de la Sécurité des Systèmes d'Information ?
C'est la thèse que je défends dans ce billet en expliquant comment il
faut remettre à plat toutes les "ex bonnes pratiques" de la sécurité
ancienne, telles que les firewalls.
En 2010, j’avais abordé
le sujet de l’ouverture de son Système d’Information rendue nécessaire
par le Cloud computing et de la sécurité dans un billet : « Etes-vous Moyen-Age ou Renaissance ? » C’est encore l’un de mes textes les plus consultés.
Hélas,
trois ans plus tard, je constate tous les jours, dans toutes mes
conférences, qu’un trop grand nombre de RSSI (Responsables de la
Sécurité des Systèmes d’Information) continuent à réagir au mot Cloud
comme un taureau devant qui on agite une muleta rouge.
Je vous propose, aujourd’hui, une démarche pragmatique, innovante et raisonnable pour
réconcilier les responsables de la sécurité avec le Cloud Computing,
permettant aux entreprises et à tous leurs collaborateurs d’en profiter
sans être bloqués par des règles de sécurité irréalistes.
RSSI : non au « NON », oui au « OUI »
Ce ne sont pas les discours d’ayatollahs de la sécurité, comme ceux de Patrick Pailloux,
Directeur Général de l’ANSSI (Agence Nationale pour la Sécurité des
Systèmes d’Information) qui vont arranger les choses ; il est contre
tout, le Wi-Fi, le Cloud, le BYOD...
Tant qu’un grand nombre
de RSSI n’auront que les mots « NON ! » ou « C’est interdit ! » pour
répondre aux attentes des collaborateurs de leurs entreprises, ils ... mettront en danger la sécurité du S.I., car ils les obligent à enfreindre les règles pour pouvoir travailler.
Interdire les réseaux
Wi-Fi dans les organismes publics ? Toute personne qui profère une
ânerie pareille se décrédibilise, décrédibilise toute la profession des
RSSI et devient le principal responsable de la naissance de milliers de réseaux Wi-Fi pirates, et donc mal sécurisés !
Je rêve d’un monde où le dialogue avec un RSSI ressemblera à cela :- Est-ce que vous pourriez m'aider à installer un réseau Wi-Fi dans toutes les salles de réunion ? Oui, bien sûr.
- Est-ce que vous pourriez m'aider à lancer un projet pilote BYOD (Bring Your Own Device) pour des volontaires au début 2014 ? Oui, bien sûr.
- Est-ce que vous pourriez m'aider pour mes équipes commerciales pourront accéder à toutes les applications dont elles ont besoin en déplacement ? Oui, bien sûr.
- Est-ce que vous pourriez m'aider à installer des zones d’accueil pour nos visiteurs et partenaires où ils peuvent se connecter librement à Internet, avec leurs smartphones, tablettes ou PC portables ? Oui, bien sûr.
- ...
Ce monde est possible, aujourd’hui ! Il faut simplement remettre à plat tout ce qui constituait, jusqu’à présent, les bonnes pratiques en matière de sécurité.
La situation ancienne (actuelle ?)
Actuelle ou ancienne ?
L’image que je propose du fonctionnement des entreprises est encore
archi dominante aujourd’hui, même si quelques rares entreprises
innovantes ont sauté le pas.
(Toute ressemblance avec une situation existante serait une coïncidence !)
Cette
image, moyenâgeuse, représente la situation actuelle, intenable, de
trop nombreuses entreprises. Qu’y voit-on, en s’aidant des numéros :- 1 - Le territoire de l’entreprise est protégé par un mur d’enceinte, appelé Firewall, censé protéger les habitants de l’intérieur des attaques d’un monde extérieur supposé hostile et dangereux.
- 2 - Tous les habitants sont obligés d’utiliser le même outil, un PC Windows avec Microsoft Office. Pour faciliter la vie du gestionnaire de l’espace, le DSI, et pour « améliorer la sécurité », une version unique, un « Master » est imposé à tous les habitants, indépendamment de leurs besoins réels.
- 3 - Un réseau local filaire, LAN Ethernet, relie tous ces objets identiques aux serveurs de l’entreprise. C’est le seul point positif de cette situation ; les performances de ce LAN permettent de répondre à l’essentiel des attentes des habitants.
- 4 - Tous les services (applications) auxquels ont accès les habitants sont produits en interne, par une armée de spécialistes qui essaient de les maintenir à jour et jouent les pompiers à chaque incident.
5 - Toute personne à l’extérieur, que ce soit un habitant qui a osé franchir le mur d’enceinte du Firewall ou un externe (client, fournisseur...) est considéré à priori comme un bandit potentiel et l’entrée du château lui sera très souvent refusée.
Ce monde est devenu
invivable, inadapté aux attentes de ses habitants qui sont obligés
d’enfreindre toutes les règles de sécurité qui leur sont imposées pour
pouvoir se déplacer et travailler.
Peut-on faire mieux, et plus sur ? Oui !
Quelle architecture de sécurité, aujourd’hui (demain?)
On change d’époque ; bienvenue dans la « Renaissance », un monde plus ouvert, plus agréable et... plus sûr.
Je vous invite à visiter ce Nouveau Monde où vous pourrez, immédiatement, vivre et travailler librement et en sécurité :- 1 - 4A (Any device, Any Where, Any TIme, Any Content)
- Vous pouvez bien sur choisir l’outil mobile qui vous convient, tablette, smartphone ou PC portable, sous iOS, Android, FirefoxOS...
- Au bureau, dans le train, chez vous, à l’hôtel... n’importe où dans le monde, vous pouvez accéder, de la même manière, à toutes les applications universelles dont vous avez besoin : messagerie, CRM...
- 24 h/24, 7J/7, quand vous en avez besoin, quand vous vient une idée, quand vous croisez un client ou un partenaire, vous avez les mêmes possibilités de vous connecter.
- Un document, une vidéo, un graphique, une feuille de calcul ? Tous les contenus que vous avez créés, tous les contenus du Web ne sont qu’à un clic ou deux de votre écran mobile, équipé d’un navigateur moderne.
2 - On trouve là la clef de la sécurité de ce Nouveau Monde ; avant de vous connecter à un réseau sans fil, 3G, 4G ou Wi-Fi, vous devrez vous authentifiez avec un mot de passe unique (Single Sign On) et une double vérification, par SMS, jeton, empreinte digitale... Ce niveau de sécurité, très élevé, vous donne accès à tous les usages « normaux » dont vous avez besoin dans votre vie professionnelle. Le Firewall physique a disparu ; où que vous soyez, vous avez un même niveau de sécurité, qui a été établi en collaboration étroite avec le RSSI.
- 3 - 100 % des services auxquels vous avez accès avec ce haut niveau de sécurité universel sont fournis par des acteurs industriels du Cloud public, très compétents en sécurité. Vous les connaissez bien : Salesforce pour le CRM, Google Apps pour votre « participatique »... Ceci ne veut pas dire qu’il n’y aura jamais de failles de sécurité, mais elles seront très rares et localisées. Dans le monde « physique » où nous vivons, l’attaque d’un fourgon blindé en Angleterre, une prise d’otage en France, un accident de train ou d’avion se produisent tous les jours, mais ne remettent pas pour autant en question « LA » sécurité de notre environnement.
4 - Il y a dans beaucoup d’entreprises des zones de très haute sécurité, pour lesquelles des protections exceptionnelles sont mises en œuvre : salle des coffres dans une banque, zone R & D chez un industriel... Je propose simplement que la même démarche soit appliquée dans le domaine des S.I. ; les applications et données très confidentielles seront localisées dans des espaces logiques spécialisés où le niveau de sécurité sera beaucoup plus élevé que pour le reste des usages. Tout le monde comprend ces règles de sécurité renforcées et les respecte. Il se peut même qu’un poste de travail différent, fixe et spécialisé, soit nécessaire pour accéder à ces espaces ; le DSI d’un grand organisme militaire que j’ai rencontré avait sur son bureau... trois PC différents, pour trois niveaux de sécurité différents.
- 5 - Ces usages « cœur de métier » qui ont besoin d’un niveau de sécurité supérieur peuvent être fournis par :
- Des industriels de l’IaaS, Infrastructure as a Service, tel qu’Amazon Web Services.
- Des hébergeurs professionnels tels qu’OVH.
L’entreprise elle-même, qui peut décider, si elle en a les compétences et la capacité à garantir un niveau de sécurité au moins aussi élevé que les prestataires extérieurs spécialisés, de les héberger dans son CCP, Centre de Calcul Privé, ce que certains s’obstinent à appeler Cloud Privé. Cette zone CCP sera alors ultra-protégée comme peut l’être la salle des coffres de la Banque de France !
La clef de la réussite
est très simple : il faut proposer des niveaux de sécurité différents,
selon les niveaux de risques et les usages. Ce pragmatisme sécuritaire est la seule réponse réaliste permettant d’équilibrer la demande d’ouverture et le souci, légitime, de sécurité.
L’illusion
de l’unicité sécuritaire informatique absolue a vécu, comme a vécu
l’unicité du poste de travail, l’unicité des applications...
En suivant cette voix réaliste, pragmatique, les RSSI vont, très vite, se transformer en alliés de tous les utilisateurs de
l’informatique, car ils seront capables de fournir les conseils et les
outils permettant d’ajuster en permanence les niveaux de risques aux
enjeux réels.
Gérer la transition entre ces deux mondes
Comme je l’écrivais
dans mon dernier billet, la maturité des solutions est très bonne en
2013 et les entreprises vont pouvoir consacrer, entre 2013 et 2016,
l’essentiel de leurs ressources au déploiement de ces nouveaux outils,
de ces nouveaux usages.
Ce
préalable « sécurité » est une première étape indispensable ; en
garantissant immédiatement un niveau de sécurité suffisant, il permet à
l’entreprise de déployer des usages innovants Cloud/SaaS pour 100 % des
collaborateurs.
Amis RSSI, vous l’avez compris : les solutions industrielles Cloud sont vos meilleurs alliés !
Elles vont vous permettre, enfin, de proposer une réponse raisonnable à un problème mathématiquement insoluble, la quadrature du cercle de la sécurité :- Laisser le maximum de liberté aux utilisateurs.
- Garantir une protection suffisante du Système d’Information de l’entreprise.
Aucun commentaire:
Enregistrer un commentaire
Remarque : Seul un membre de ce blog est autorisé à enregistrer un commentaire.