Protection des données : vers plus de sécurité en 2012 ?

SRS_Day1.jpg

Le 25 novembre 2011, le SRS Day a permis de dresser un bilan des dernières évolutions de la sécurité informatique et d’esquisser des perspectives pour 2012.

Sébastien Bombal (EPITA promo 2004), manager des systèmes industriels et de la sécurité à la direction des opérations chez Areva, directeur de la majeure « Systèmes, réseaux et sécurité » (SRS) de l’EPITA revient sur ce qui s’est dit durant le colloque sponsorisé par le spécialiste de la sécurité informatique Intrinsec, dans lequel des professionnels de la sécurité appartenant aux entreprises GDF Suez, Areva, Alstom et Intrinsec ont pu échanger leurs points de vue.

Quel bilan de l’année 2011 a-t-il été tiré ?

Après Stuxnet, l’année 2011 a vu l’avancée des « advanced persistent Threats » (APT) constituant des menaces à objectif de renseignement notamment industriel.

Un autre phénomène s’est confirmé : le passage, en particulier au sein de la génération Y, d’un mode d’utilisation des données à un mode de consommation des données, accentué par le développement de la mobilité. Avec ce second mode, l’accès aux données devient multiforme et leur circulation plus importante – ce qui les rend plus vulnérables.

Enfin, la démultiplication des objets connectés et des équipements posent le problème de la révision du protocole IPV6 qui donne à chacun d’entre eux une adresse unique mondiale et accessible. Tandis que l’augmentation du nombre de données et le développement parallèle du recours au cloud computing pose la question de l’usage de ce nouveau mode d’hébergement des données.

Quelles problématiques posent ces évolutions ?

Dans ce contexte, il s’agit de contrôler d’avantage l’accès à la donnée ainsi que leur diffusion. La problématique peut se poser d’une manière différente selon que l’on est une entreprise ou un consommateur. La donnée est-elle sensible ou non ? C’est la question que se pose l’entreprise. Qu’est-ce qui relève du personnel ou du professionnel ? C’est la question que se pose le consommateur.

Dans un moment d’extension et de complexification des réseaux d’entreprise, une des problématiques est toujours celle du budget consacré à la protection des données, qu’il va falloir augmenter.

Dernier point, celui concernant les tableaux de bord de contrôle : la recherche du marché vers la “compliance” ou la conformité aux règles a eu tendance à l’emporter sur l’utilisation d’indicateurs de sécurité véritablement opérationnels, conduisant à une sécurité moins techniques. Revenir vers plus de technique apparaît comme essentiel pour résister à ces APT.

Quelles conséquences et quelles perspectives pour 2012 ?

L’exercice est toujours difficile mais force est de constater qu’un certain nombre de directions se profilent donc pour 2012. Il va falloir que les acteurs continuent de se professionnaliser sur la sécurité et acquérir une réactivité à la mesure de son caractère plus offensif. La lutte informatique défensive est une réalité.

Face au risque industriel et à l’extension du champ des objets connectés, il va falloir protéger autant les systèmes informatiques tertiaires que les systèmes industriels et les systèmes embarqués.

Enfin une remise au centre de la technique semble nécessaire. Il va falloir revenir aux fondamentaux (« back to the basics ») et rapprocher l’arbitrage du risque – du ressort des dirigeants – de l’arbitrage technique – propre au directeur de la sécurité des systèmes d’information (DSSI).