Comment l’entreprise étendue transforme les besoins de sécurité
Finie la logique de «château-fort» qui dominait, il y a encore quelques années, l’approche de la sécurité du SI en entreprise. C’est du moins ce qu’expriment clairement et sans ambages les RSSI d’Alstom et d’Areva qui intervenaient lors d’un atelier organisé par Fortinet sur les Assises de la Sécurité, qui se sont déroulées début octobre à Monaco. Pour eux, l’évolution des menaces et des modèles économiques imposent de nouvelles approches.
Pour Sébastien Bombal, responsable Sécurité des opérations IT d’Areva, la situation est claire : «le SI s’apparente de plus en plus à une plateforme d’échange, à un aéroport par opposition à un château-fort.» Le la est donné.
Raphaël Viart, qui occupe le même poste chez Alstom, ne le contredit pas : «en 2005, on blindait le périmètre; on faisait juste attention aux virus qui pouvaient arriver». Désormais, les missions sont tout autres : «on doit maîtriser le cycle de vie des utilisateurs et leur authentification; être pro-actif dans la détection d’intrusion». Pour lui, c’est bien simple, «depuis 2007, le firewall n’est plus stratégique même s’il reste indispensable. La sécurité périmétrique est moins importante... même si je défie quiconque de s’en passer».
Les métiers en première ligne
Dans les deux cas, d’une certaine façon, ce sont les métiers qui dictent leurs besoins et la conduite à suivre. Sébastien Bombal précise ainsi : « nous avons besoin d’ouvrir le SI de manière sécurisée, d’en contrôler les accès. Jusque dans nos locaux où l’on peut avoir, un étage avec des partenaires d’une entreprise chinoise, juste en-dessous de partenaires japonais, dans le cadre d’un autre projet, etc. Avec une demande métier légitime : quand un collaborateur arrive dans une salle de réunion, il doit pouvoir accéder à son espace de sécurité, à ses systèmes d’information dédiés. C’est un impératif de productivité. »
Concrètement, il explique que «quand nous faisons des projets, nous ne sommes pas tout seuls. Je vais prendre l’exemple d’un projet comme un EPR à Abu Dhabi, avec un consortium regroupant EDF, Areva, etc. On nous demande de monter très rapidement des infrastructures pour ces projets. Et les parties prenantes, comme dans toutes nos activités aujourd’hui, ont plusieurs facettes : on peut les retrouver comme partenaires, fournisseurs, clients, actionnaires.... Ces parties prenantes sont susceptibles d’avoir plusieurs rôles. Il n’est pas question de leur donner une accès au SI plus large que nécessaire pour le projet».
Une révolution culturelle qui joue pour le Cloud
Pour lui, cette évolution de l’environnement économique des entreprises pousse à une révolution culturelle qui favorise virtualisation - au niveau des infrastructures - et Cloud - au moins au niveau des services. «Ce n’était forcément notre culture, il y a plusieurs années. Mais nous sommes un peu en train de verser dans le business du temporaire : monter une plateforme pour un projet, un SI pour une co-entreprise, etc. Nous devons devenir extrêmement flexibles tant en termes d’organisation qu’en termes d’architecture. Car notre activité l’est. Et puis, comme d’autres entreprises, nous nous concentrons de plus en plus sur la valeur ajoutée; ce qui implique d’externaliser ce qui s’éloigne du coeur de métier. Là encore, le SI doit être flexible.»
Concrètement, cela passe notamment par la virtualisation des réseaux : «avec le contrôle des accès, on oriente chaque poste de travail vers le réseau virtuel qui lui correspond. Il s’agit de s’affranchir des infrastructures et de virtualiser jusqu’au bout». Avec une conséquence immédiate : «adapter notre catalogue de services. Le Cloud est tout à fait acceptable dans certaines situations, en restant vigilant sur les contrats avec, notamment, les clauses de reversabilité ».
Mais si la flexibilité est au rendez-vous, elle n’est pas sans s’accompagner de contraintes : « on empile les couches de sécurité avec les conséquences que l’on imagine en matière de complexité de gestion et de cartographie.»