Contexte de l'évolution du modèle de sécurité dans les entreprises
Depuis les 20 dernières années, l’état de la menace a considérablement évolué. Les attaques sont désormais complexes, s’appuient sur des techniques d’ingénierie sociale et sont ciblées.
Nos systèmes d’information se sont ouverts à l’extérieur avec l’arrivée d’une multitude de services en ligne, d’outils de communication, de plateformes d’échange et bien d’autres. En outre, il y a eu une externalisation d’une partie du système d’information en ligne avec de la bureautique en ligne par exemple.
De plus, les collaborateurs sont maintenant régulièrement hors des murs de l’entreprise, en télétravail ou en travail à domicile, voire forcés à rester durant des mois hors des bureaux de l’entreprise, comme avec la pandémie de la COVID-19.
Les clients se déplacent également de moins en moins dans les agences des banques et assurances, préférant ou étant obligés de réaliser leurs tâches en lignes.
Ainsi, les frontières de l’entreprise ont changé, si bien que le modèle de sécurité historique de ces dernières années doit être revu pour prendre en compte ces nouveaux éléments.
Les réflexions et conclusions tirées résultent d’une volonté de garder de la distance et de proposer des recommandations sur un modèle de sécurité à une échelle macroscopique afin de pouvoir être appliquées à toute entreprise à l’heure actuelle.
Périmètre de l'étude
« Connaître l’acteur » signifie en savoir assez sur lui pour lui rendre le meilleur service possible, celui qui correspond à ses besoins et lui apporte le plus d’utilité.
Il s’agit d’obtenir une « segmentation », donc définir une classification des acteurs adéquate à la nature des relations que l’entreprise entend avoir avec eux.
Une telle classification, c’est formellement :
- Une partition de l’ensemble des acteurs, sans omission ni double emploi, permettant d’affecter chaque acteur à une classe et une seule ;
- Un ensemble de paramètres observables sur chaque acteur ;
- Des règles qui permettront, connaissant les valeurs des paramètres propres à un acteur, d’identifier la classe à laquelle celui-ci appartient (classement).
La classification sera adéquate à la nature des relations que l’on a avec les acteurs si elle est définie de telle sorte que les divers acteurs d’une même classe puissent être considérés, en ce qui concerne leurs besoins, comme un seul et même acteur.
Pour servir les acteurs du système d’information, l’entreprise doit segmenter la population qu’ils constituent (marketing interne). Il a pour but non d’adapter les acteurs au système d’information, mais de définir ce que le système d’information doit faire pour répondre à leurs besoins.
Afin de considérer l’ensemble des acteurs jouant un rôle dans le modèle de sécurité, il est pertinent de les classer tout d’abord en fonction de leur provenance ainsi que de leurs interactions avec l’entreprise.
De ce fait, il en ressort 14 types d’acteurs ou partitions répartis en 3 catégories ou classes : les collaborateurs (ou tiers internes) et intérimaires ainsi que les traitements informatiques appartiennent au domaine de l’entreprise, les clients, prospects, les forces de l’ordre, les intervenants d’un contrat, les internautes font partie de l’environnement public. Enfin les prestataires, intermédiaires, distributeurs, fournisseurs et pairs constituent l’ensemble des partenaires (ou tiers externes – hors public).
Les parties prenantes d’un système d’information peuvent être internes (avec les collaborateurs et intérimaires) utilisant les informations, manipulant les outils du système d’information, construisant et gérant le système d’information, ou externes comme partenaires économiques (avec les clients, les fournisseurs, les sous-traitants, les prestataires de service, les éditeurs de logiciels, etc.).
Dans l’entreprise, le système d’information devient l’actif le plus important : il enregistre en effet le langage de l’entreprise, puisque celle-ci y dépose les concepts selon lesquels elle s’organise, segmente sa clientèle et définit ses produits, stocke les données destinées aux collaborateurs de l’entreprise et aussi de plus en plus au domaine public et aux partenaires, et les assiste en réalisant automatiquement des tâches de classement, recherche, traitement, traduction et communication (traitements informatiques). Les relations entre cet actif et les personnes qui l’utilisent sont très diverses, même si l’on parle volontiers de « l’utilisateur » ou de « l’acteur ».
Objectif du document
Ce document a pour objectif de présenter et expliquer le changement de paradigme qui est apparu dans les entreprises depuis plusieurs années. Il a d’autant plus été mis en exergue depuis le début de la pandémie de la COVID-19. En effet cette période de pandémie a mis en évidence certaines limites et difficultés qu’il a fallu prendre en compte parfois dans l’urgence (télétravail et solutions nécessaires, ouverture et accès à certaines applications sensibles, contrôle des postes de travail…).
D’un autre côté les « cybercriminels » on mis à profit cette période pour accentuer les attaques. Une période de régularisation a été nécessaire dans certains cas pour revenir à une situation plus maîtrisée et plus conforme à la politique de sécurité de l’entreprise.
Cependant au-delà des constats de cette période et des actions réalisées ou engagées pour une meilleure sécurité, d’autres points majeurs sont à prendre en compte (évolution de la menace, accélération de la transformation digitale, utilisations de plus en plus importante du Cloud, nécessité de plus de réactivité et d’ergonomie pour l’accès aux services…) qui nous amènent à repenser et très probablement à revoir notre stratégie et nos modèles de sécurité.
Ce document pose le constat global de ces besoins et difficultés et donne des orientations vers une nouvelle approche possible de stratégie de sécurité.
Ce document est destiné à tout responsable métier, SI ou CISO/RSSI afin de lui apporter un éclairage factuel des constats effectués sur le contexte SI/SSI actuel et de lui proposer des pistes de réflexion pour faire évoluer sa stratégie et ses solutions de SSI.