samedi 14 juillet 2007

Agir pour ne pas (devoir) réagir

Le patrimoine informationnel d'une entreprise repose en grande partie sur son personnel. Encore faut-il que celui-ci en ait conscience. A force de se focaliser sur les dispositifs techniques, l'entreprise "mobile" et ses cadres nomades demeurent toujours et encore le "maillon faible". N'y aurait-il l'analogie (chère à Sid pour le coup) inconsciente à un célèbre jeu débilifiant d'une grande chaîne de télévision, que les sourires se crispent subitement : comment faire comprendre définitivement (aux décideurs qui détiennent les cordons de la bourse) que :
- la sécurité est un investissement, pas uniquement un centre de coût (ROsI et plus),
- le risque majeur est, à de rares exceptions près, le salarié,
- la formation du personnel aux risques et aux menaces est indispensable.

Alors bien sûr, il apparaît difficile d'illustrer le sujet par des exemples publics ou quantifiables. La plupart du temps, les entreprises passent sous silence les fuites malencontreuses ayant conduit à une perte quelconque (financière, concurrentielle, image de marque, réorientation du lobbying, etc.). Dans le pire des cas, elles ne sauront jamais que la perte d'un gros contrat ou l'envol d'un client chez le concurrent s'est joué sur une info récupérée dans le TGV ou l'avion.

Alors au lieu d'attendre benoitement de faire les gros titres de la presse de demain ou de devoir diligenter en urgence des cabinets spécialisés, il faut que les décideurs agissent immédiatement !

3 commentaires:

Anonyme a dit…

J’ai trouvé votre billet fort intéressant. Les vacances et le farniente aidant, j’avais mis dans un con de ma tête mon commentaire. Il s’agit plus d’une réflexion personnelle sur la problématique du patrimoine informationnel qu’un véritable commentaire. Il ne s’agit pas non plus d’un point de vue arrêté.

Le dictionnaire nous donne la définition suivante du patrimoine : Ensemble des biens hérités des ascendants ou réunis et conservés pour être transmis aux descendants. Ma définition personnelle du patrimoine informationnel (et donc à prendre avec des pincettes) est la suivante : Ensemble des biens matériels et immatériels qui peuvent être défini comme le plus petit ensemble nécessaire à la survie de l’entreprise. Un point important à mon avis, comme vous l’introduisez dans votre billet est que le patrimoine informationnel ne doit pas reposer sur le concept de confiance pour sa sécurité. Au mieux, on utilisera le concept de tiers de confiance qui est à mon sens plus proche de la réalité.

La chaîne de sécurité n’étant pas plus solide que son maillon le plus faible, l’homme, il est alors illusoire de penser qu’une solution systémique est possible. Lorsque des millions voire des milliards sont en jeu, il serait par exemple totalement stupide de croire qu’un simple pare-feu avec chiffrement SSL assorti d’une authentification forte est suffisant. En effet, se pose le problème du tiers de confiance. Tout comme le notaire à qui vous déposez votre testament, rien n’empêche un tiers de confiance de l’entreprise de voler, divulguer ou simplement détruire une partie de ce patrimoine. Certes, vous saurez certainement qu’il y a eu un problème mais le mal sera fait. Ce qui dans le cas d’une entreprise peut signifier sa perte.

Ayant eu la chance d’intervenir sur ce genre de problématique, j’ai en mémoire la discussion forte intéressante que j’avais eu avec le responsable sûreté du groupe ( homme d’expérience). Après avoir écouté et répondu à chacune de mes questions lors de la phase initiale d’analyse de l’existant, je lui demandais quelle était sa vision du problème. Il m’a dit qu’il avait confiance en la solution technologique que nous choisirions mais qu’il souhaitait avant tout que tout utilisateur du système informatique sache qu’il était surveillé lorsqu’il se connectait au système critique de l’entreprise.

La tracabilité et son sous-concept de non-répudiation sont à mon avis des outils très important. La formation étant effectivement un point important mais malheureusement pas suffisant. Tout aussi importante est l’analyse de risque préliminaire et la connaissance de l’appétence au risque qui en découle. C’est ici, toute la problématique de la protection du patrimoine informationnel. Plus on s’approche des problématiques d’analyse de risque et plus l’on approche une sphère totalement incontrôlable : celle des VIP — je le dis sans méchanceté ni mépris mais force est de constater qu’en face d’un VIP, le pauvre chef de projet ne pèse pas bien lourd. Le premier risque —j’ai malheureusement eu l’occasion de le vérifier — est que le projet se transforme en lutte intestine entre les différents départements ou VIP (lutte pour garder le contrôle de sa sphère d’influence) et que d’une problématique factuelle, on bascule dans une problématique passionnelle.

A ceci s’ajoute la difficulté de la « vrai vie». Un exemple : la séparation des privilèges. Il est facile de comprendre que les fonctions d’administration, de supervision et de contrôles devaient être indépendantes. Or, essayez de trouver un pare-feu où il est impossible pour l’administrateur d’arrêter le journal de log, de modifier la configuration, de faire ce qu’il a à faire et de relancer le journal de log. Je peux vous assurer que les produits offrant cette fonctionnalité sont plus rare qu’on ne le croit. L’administrateur étant encore trop souvent considéré comme une personne de confiance et non un tiers de confiance. Je passe bien entendu sur les problématiques de CAPEX et souvent plus embêtantes d’OPEX qui nous rappellent souvent à la dure réalité des contraintes financières et des budgets trop faibles.

Je pourrais continuer encore longtemps tant la problématique de protection du patrimoine informationnel est un sujet qui m’intéresse mais ce n'est pas le but non plus...

Anonyme a dit…

L'idée et les paroles sont belles. Depuis le post de ton billet, si tu en as le pouvoir au niveau de ton entreprise, as-tu pu concrétiser certains projets ?

Si vis pacem a dit…

JME : merci pour ton commentaire qui appelle un certain nombre de remarques de ma part. J'y reviendrai plus tard.

Fropert : on peut chercher à "évangéliser" son environnement professionnel proche, au niveau qui est le sien : c'est un premier jalon. N'étant ni PDG ni membre de CA, il m'est difficile de modifier rapidement des actions parfois sujettes à caution. L'union faisant la force, la communauté de la sécurité doit continuer à marteler une approche raisonnée/tempérée mais opérationnelle.