Eric Boulay, Arismore : « avec la sécurité, la virtualisation c’est un peu jouer au cobaye »
La sécurité, juste une contrainte ? Non, pour le PDG d’Arismore, prestataire de services spécialisé dans la sécurité des systèmes d’information, il faut regarder au-delà. Selon lui, la sécurité est la composante du système d’information qui permet son ouverture maîtrisée sur l’extérieur, autorise les interactions avec les SI des partenaires et, en définitive, permet d’ouvrir l’entreprise à de nouvelles perspectives. Une vision idéaliste qui ne manque pas de se heurter à certaines réalités parfois douloureuses.
LeMagIT : La sécurité arrive souvent comme l’un des derniers maillons de la chaine des projets informatiques. N’est-ce pas mettre les bœufs après la charrue ?
Eric Boulay : La sécurité est effectivement souvent ajoutée comme une surcouche. Mais c’est vrai pour beaucoup de sujets couverts par les directions des systèmes d’information. En réalité, sur le terrain, les entreprises, grandes ou petites, font face à des contextes très complexes : fusion/acquisition, ouverture à l’international, à des partenariats, etc. La sécurité fait partie des exigences mais c’est aussi un enabler : c’est elle qui fait que l’on peut ou que l’on ne peut pas ouvrir son système d’information. Y compris dans un contexte de plus en plus fréquent de coopétition (coopération avec un concurrent sur d’autres segments de marché, NDLR). La réalité, c’est qu’on ne peut plus mener un projet sans ouvrir son SI et intégrer la question de la sécurité. C’est vrai pour beaucoup d’industries : énergie, automobile, etc.
LeMagIT : Mais l’interaction entre SI peut se faire de manière très circonscrite, par échange de batchs par exemple ?
Eric Boulay : Cela eut fonctionné. Les demandes actuelles sont beaucoup plus ambitieuses, avec notamment des exigences de temps réel. On doit prendre en compte ce que disent les métiers et la stratégie. Les méthodes de protection basées sur les échanges par batch (traitement de données ponctuels par lots, NDLR) et la notion de sécurité périmétrique classiques ne répondent plus aux enjeux métiers actuels. On est clairement passé d’une situation où la sécurité était une contrainte à celle où sécuriser efficacement permet d’accéder à de nouveaux débouchés.
La nouveauté réside dans une approche intégrant la composante métier : on est dans le réalisme sécuritaire. Ce sont des réflexions sur lesquelles on avance au sein d’instances telles que le forum Jericho ou l’Open Group.
LeMagIT : Cette réflexion ne se heurte-t-elle à une certaine culture de l’informatique qui vise à l’exhaustivité dès la version 1.0 d’un projet ?
Eric Boulay : Il y a effectivement un héritage culturel, dans la façon de travailler des informaticiens, qui doit être dépassé. Une logique consistant à ‘border’ et à border tout autant les projets que les risques associés, à s’arque bouter sur les spécifications – « dès que j’en sors, je prends un risque, budgétaire ou métier… ». La révolution culturelle, c’est celle qui consiste à accepter qu’un SI est tout sauf une somme de projets.
C’est aussi et surtout une révolution qui touche au management de l’informatique. L’agilité et la capacité à évoluer, c’est le propre d’un dirigeant. Mais ce n’est pas ce à quoi sont entrainés les chefs de projets. Peut-être faut-il commencer à les habituer à considérer que tous les projets sont à périmètre variable.
LeMagIT : Dans une telle approche, les méthodes classiques de développement et de maintenance évolutive ne s’appliquent plus…
Eric Boulay : La méthode globale d’architecture d’entreprise remet en cause les concepts de cycle en V et d’évolution linéaire : il s’agit d’une approche d’évolution circulaire, très itérative, avec une progressivité dans la granularité.
LeMagIT : Ce type d’approche ne nécessite-t-il pas au moins le maintien d’un certain niveau de compétence sur l’existant, dans l’entreprise ?
Eric Boulay : Les grandes organisations françaises ont une certaine tradition de l’externalisation. Mais les différentes couches du SI ne sont pas complètement maîtrisées, on ne maîtrise plus rien. C’est la raison pour laquelle nous avons besoin de grandes écoles d’architecture : l’architecture, en cela qu’elle englobe tant les processus que leur description, est essentielle pour s’inscrire dans une démarche dynamique, évolutive. Tout sauf statique. De grandes entreprises commencent d’ailleurs revoir leurs méthodes de projet, avec une prise en compte beaucoup plus en amont des exigences tant métier que technique.
LeMagIT : Dans un tel contexte, que changent les architectures virtualisées ?
Eric Boulay : Le cloud et la virtualisation permettent de professionnaliser l’environnement de production, que ce soit pour des grands acteurs de l’exploitation ou pour de plus petit prestataires, sur des niches. Mais, souvent, il s’agit d’arriver à réaliser ce que de très grandes entreprises n’ont pas réussi à faire jusqu’à présent… Le problème, c’est que certains grands fournisseurs, confrontés à ces environnements, se présentent aujourd’hui face à leurs clients en disant « c’est trop compliqué. Ce n’est pas notre métier. » Est-ce normal de dire ça à une grande entreprise ou à une administration ? Ajoutons que, souvent, on touche en plus, dans ces contextes, aux limites en matière de sécurité.
Bref, pour le cloud et la virtualisation, il y a d’un côté le discours et, de l’autre, la réalité lorsqu’il faut signer pour assumer des responsabilités. De fait, le pas est gigantesque : il ne s’agit plus de protéger un périmètre mais la donnée. Sur le papier, c’est élégant ; dans la pratique, c’est un big bang. Alors, oui, du point de vue de la sécurité, aller vers la virtualisation, c’est un peu jouer au cobaye. Mais il faut relativiser : on commence par des applications et des données non critiques. Puis on avance et on apprend en marchant.
Je remarque surtout que, pendant des années, les architectures et les RSSI se sont ignorés. Et cela change aujourd’hui. Mais il faut aller plus aller : nous devons élever, dans les entreprises, des profils capables d’avoir une vision très large, englobant toutes les couches du SI depuis les métiers jusqu’au matériel, pour appréhender pleinement la sécurité dans sa globalité.