Le siège de Saint-Gobain

La sécurité numérique enjeu majeur pour la souveraineté nationale

Dossier : Les 50 ans du Corps de l'armementMagazine N°734 Avril 2018
Par Thierry LEBLOND (80)

Les appli­ca­tions numériques sont aujourd’hui vitales partout, a for­tiori dans les sys­tèmes d’armes. Assur­er la sécu­rité, ce n’est plus se bar­ri­cad­er, les don­nées sont dans le cloud et les opéra­teurs mobiles. La nou­velle con­cep­tion de la sécu­rité est “secu­ri­ty by design” qui doit être réfléchie et incluse dès la con­cep­tion du sys­tème d’information.

En 2018, dans un envi­ron­nement économique et tech­nologique en pleine muta­tion, tous les dirigeants d’organisation ont désor­mais com­pris que la réus­site de leur « trans­for­ma­tion numérique ou dig­i­tale » est stratégique voire vitale. Mais nom­mer les choses, c’est d’abord les définir. 

REPÈRES

Pour le dirigeant d’une entreprise, la stratégie de « transformation digitale » procède d’une vision nouvelle de son système d’information.
Dès le stade de la conception, il se décline en quatre axes stratégiques by design : la sécurité dans le cloud, la protection des données personnelles, l’agilité et la mobilité.
Dans ce contexte, garantir un partage sécurisé des données sur internet devient l’enjeu majeur de la stratégie numérique de l’entreprise.

PASSER D’UNE SÉCURITÉ PÉRIMÉTRIQUE À UNE « SECURITY BY DESIGN »

Le pre­mier con­stat, c’est qu’Internet et le cloud sont désor­mais incon­tourn­ables. Or la sécu­rité infor­ma­tique de l’entreprise repose, depuis l’invention des réseaux et du Web, sur une vision de pro­tec­tion périmétrique qui con­sid­ère que seul tout ce qui à l’extérieur d’un réseau pro­tégé est l’ennemi.

La pro­tec­tion est réal­isée par des tech­nolo­gies de con­trôle et de super­vi­sion du réseau : pare-feux, sys­tèmes de détec­tion d’intrusion (IDS), passe-plats, bas­tions, con­trôle des con­nex­ions réseaux, deep pack­et inspec­tion (DPI), cen­tre de ges­tion de sécu­rité (SOC).

Par­al­lèle­ment, l’accès aux don­nées depuis l’extérieur de l’entreprise passe par des tech­nolo­gies de chiffre­ment réseau comme les réseaux privés virtuels. 

PARER LES NOUVELLES MENACES

Mais cette stratégie de pro­tec­tion, de type « ligne Mag­inot », n’est pas suff­isante. Elle est inopérante face aux nou­velles menaces. 

“ Internet et le cloud sont désormais incontournables ”

Et puis, com­ment par­al­lèle­ment assur­er l’accès général­isé aux don­nées de l’entreprise alors que cer­tains pays inter­dis­ent les réseaux privés virtuels ? 

Les men­aces sont prin­ci­pale­ment de deux natures : d’une part, la vio­la­tion des don­nées (Yahoo : 3 mil­liards de comptes util­isa­teurs, Uber : 57 mil­lions de clients et 600 000 chauf­feurs, le Pen­tagone : 1,8 mil­liard de mes­sages soit plusieurs To de don­nées) ; et d’autre part l’indisponibilité des don­nées, voire leur cor­rup­tion (la cyber­at­taque du rançongi­ciel Not­Petya a fait per­dre à Saint-Gob­ain 250 Me de commandes). 

PENSER LA SÉCURITÉ DÈS LE DÉPART

La sécu­rité infor­ma­tique de l’entreprise doit désor­mais com­mencer dès le stade de la con­cep­tion du sys­tème d’information en par­tant du principe que la vul­néra­bil­ité prin­ci­pale est le ter­mi­nal util­isa­teur ; en d’autres ter­mes, que c’est le ter­mi­nal (y com­pris sa dimen­sion humaine) qui garan­tit le niveau de sécurité. 

Dans ce cas, la con­fi­den­tial­ité des don­nées reposera sur le secret de la clé privée qui ne devra pas sor­tir du ter­mi­nal util­isa­teur. Le cloud pub­lic assur­era quant à lui la résilience et la disponi­bil­ité. L’authentification, éventuelle­ment forte à plusieurs fac­teurs, garan­ti­ra la légitim­ité de l’utilisateur.

Le principe général est d’intégrer la sécu­rité au stade de la con­cep­tion du sys­tème d’information ou Secu­ri­ty by Design. 

UNE CONSTRUCTION À TROIS NIVEAUX

C’est pourquoi, il faut con­stru­ire le sys­tème sur une triple con­fi­ance : con­fi­ance dans les accès pour garan­tir l’identité et les droits asso­ciés ; con­fi­ance dans le trans­port, par exem­ple en util­isant le HTTPS qui offre une excel­lente garantie ; enfin, con­fi­ance dans le partage qui implique de gér­er les clés privés au niveau de l’utilisateur.


Le piratage infor­ma­tique a coûté très cher à Saint-Gobain.

PARTIR DU POSTE CLIENT

La confidentialité des données devra désormais être assurée exclusivement par le poste client qui est la seule entité de confiance.
Le modèle de chiffrement sera Zero knowledge (ou à diffusion nulle de connaissance), ce qui veut dire que seul le client connaîtra les clés de chiffrement. Ni l’administrateur, ni une quelconque autre autorité administrative ne pourra accéder aux clés de chiffrement.
L’historisation permettra de voir quels changements ont été faits sur les données, et de restaurer le contenu à une version précédente.

UN CADRE EUROPÉEN POUR LA PROTECTION DES DONNÉES

Le Règle­ment général sur la pro­tec­tion des don­nées ou RGPD est un règle­ment européen. Con­traire­ment à une direc­tive qui doit être trans­posée en loi nationale, il prend effet dans chaque loi nationale à compter du 25 mai 2018. En cas de man­que­ment, les sanc­tions vont jusqu’à 4 % du chiffre d’affaires annuel mondial. 

“ La 4G et le wifi sont généralisés presque partout ”

L’entreprise devient respon­s­able du traite­ment, automa­tisé ou non, des don­nées per­son­nelles, directes ou indi­rectes, con­cer­nant une per­son­ne physique iden­ti­fiée ou identifiable. 

Le respon­s­able du traite­ment est con­sid­éré comme l’acteur économique respon­s­able (principe d’accountability) et en tant que tel, il lui revient de pren­dre les mesures pour garan­tir la pro­tec­tion des don­nées per­son­nelles : déter­min­er les final­ités, doc­u­menter les traite­ments, recueil­lir les con­sen­te­ments explicites, don­ner accès aux don­nées, per­me­t­tre leur efface­ment ou leur portage. 

Le principe général est la pro­tec­tion des don­nées dès la con­cep­tion ou encore Pri­va­cy by Design. Ce principe rejoint le précé­dent au niveau de la con­cep­tion du système. 

DES TERMINAUX MAJORITAIREMENT MOBILES : MOBILITY BY DESIGN

La 4G et le wifi sont général­isés presque partout et, à Lis­bonne, les mem­bres de la 3GPP – la coopéra­tion inter­na­tionale qui fixe les stan­dards de télé­com­mu­ni­ca­tions – se sont mis d’accord en décem­bre 2017 sur les spé­ci­fi­ca­tions de la 5GNR (New Radio). 

“ Transformation numérique = Sécurité + Protection + Agilité + Mobilité ”

Les ter­minaux sont devenus mas­sive­ment mobiles et c’est d’ailleurs le mode majori­taire de con­som­ma­tion de l’Internet.

La mobil­ité a un impact direct sur l’organisation du tra­vail : la général­i­sa­tion des organ­i­sa­tions col­lab­o­ra­tives à dis­tance entraîne la dis­pari­tion des fron­tières physiques de l’entreprise. La con­séquence, c’est que les sys­tèmes d’information devront être native­ment respon­sive, c’est-à-dire que leur ergonomie devra s’adapter naturelle­ment au ter­mi­nal, la règle de base de con­cep­tion des pages étant l’« expéri­ence util­isa­teur » ou UX, ce qui com­prend égale­ment les normes d’accessibilité.

ÉVITER LES PROGICIELS DE GESTION INTÉGRÉS (PGI)

Une entre­prise qui a con­stru­it son sys­tème d’information par briques applica­tives au fil de ses besoins métiers doit gér­er au bout de dix à vingt ans un pat­ri­moine de plusieurs cen­taines voire mil­liers d’applications indépen­dantes trai­tant pour la plu­part des don­nées sim­i­laires, notam­ment des don­nées per­son­nelles ayant trait aux util­isa­teurs ou aux usagers. 

Utilisation d'un smartphone
Les ter­minaux sont avant tout mobiles. © MARIA_SAVENKO

Toutes ces appli­ca­tions sont générale­ment con­stru­ites sur des archi­tec­tures obsolètes « trois tiers » ou « client-serveur » qui com­por­tent de nom­breuses failles de sécu­rité. Il est impos­si­ble de bouch­er tous les trous. 

Dans le meilleur des cas, l’entreprise a organ­isé ses proces­sus autour de progi­ciels de ges­tion inté­grés ou PGI, cen­sés cou­vrir tous ses besoins fonc­tion­nels, moyen­nant un paramé­trage méti­er, mais néces­si­tant générale­ment de nom­breux développe­ments spé­ci­fiques et une longue et douloureuse péri­ode de migra­tion et de changement. 

À l’heure de la révo­lu­tion numérique, con­tin­uer à organ­is­er son sys­tème d’information autour de progi­ciels et de solu­tions applica­tives est une erreur stratégique. 

Com­ment assur­er un accès uni­versel au sys­tème d’information de l’entreprise ? Com­ment adapter quo­ti­di­en­nement le sys­tème d’information à la stratégie de l’entreprise, aux proces­sus et aux organ­i­sa­tions en per­pétuel mou­ve­ment ? Et com­ment garan­tir que toutes les don­nées de même nature seront traitées de la même manière et de façon synchrone ? 

PRIVILÉGIER L’OPEN SOURCE

Au final, la meilleure approche con­siste à recon­stru­ire inté­grale­ment le sys­tème d’information à par­tir d’une plate­forme d’échange inter­sys­tème, sur la base de briques libres con­stru­ites, d’une part à par­tir des proces­sus métiers (le fron­tend), et d’autre part, sur la base d’une restruc­tura­tion méti­er des don­nées (le backend). 

Pour l’utilisateur, la tran­si­tion sera douce puisque la plate­forme inté­gr­era une mes­sagerie inter­sys­tème qui syn­chro­nis­era tous les appli­cat­ifs his­toriques avec la plate­forme via des inter­faces de pro­gram­ma­tion applica­tives ou API. 

STRATÉGIE GAGNANTE

Face aux inconvénients des progiciels intégrés, une stratégie gagnante est par exemple celle annoncée par la Société Générale à l’occasion du Paris Open Source Summit 2017 :
  • migrer ses applications, son middleware et son infrastructure sur des solutions du « libre » ;
  • généraliser nativement le recours au « libre » dans les nouveaux projets ;
  • convertir progressivement les applicatifs traditionnels par leurs alternatives en open source ;
  • et faire de ses informaticiens des contributeurs actifs.

Le choix de l’open source par une organ­i­sa­tion per­me­t­tra d’assurer la réversibil­ité et la péren­nité, et l’ouverture du code sera une garantie sup­plé­men­taire que les failles de sécu­rité seront plus rapi­de­ment corrigées. 

L’adoption très rapi­de de Kuber­netes, conçu par Google pour automa­tis­er le déploiement et la mon­tée en charge d’applications, est un autre exem­ple qui illus­tre la force du mod­èle open source. 

UNE NOUVELLE VISION DU SYSTÈME D’INFORMATION

La con­clu­sion pour­rait s’écrire sous forme d’une équa­tion : « Trans­for­ma­tion numérique = Sécu­rité + Pro­tec­tion + Agilité + Mobil­ité ». Cette trans­for­ma­tion numérique procède d’une vision nou­velle du sys­tème d’information qui se décline désor­mais en qua­tre axes stratégiques by design : sécu­rité dans le cloud ; pro­tec­tion des don­nées per­son­nelles ; mobil­ité ; agilité et open source.

Poster un commentaire