De la Sécurité du Système d’Information et des Entrepôts de Données


Rédigé par le 25 Mai 2010

Plus du tiers des grandes entreprises ont déjà fait l’objet d’une intrusion dans leur système d’information ou d’une tentative sérieuse, ceci fait que la sécurité est devenue un domaine clé d’investissement et que le marché des solutions de sécurisation se porte bien. Cependant la confiance ne peut pas être obtenue que par l’achat de technologie, et au de la technique il convient de bien agencer différents moyens organisationnels, juridiques ou humains, pour garantir la sécurité des informations. Concrètement il s’agit d’assurer l’intégrité, la confidentialité et la disponibilité de l’information, c'est-à-dire de garantir que l’information ne puisse être altérée, révélée à des tiers non autorisés ou indisponible au moment voulu.



Michel Bruley, Directeur Marketing & PR Teradata Europe de l’Ouest
Les entreprises sont confrontées à de nombreuses nouvelles menaces & contraintes, dues au renouvellement de leurs approches commerciales, à l’évolution de leurs organisations, à l’attaque de nouveaux marchés, ou aux nouvelles exigences en matière de normes ou de réglementations. De plus l’évolution des systèmes d’information apporte aussi son lot de fragilités, du fait de l’intégration de plus en plus poussée des systèmes de l’entreprise avec ceux de partenaires, du recours accru à internet pour mener des opérations, des nouvelles technologies de réseaux sans fil ou des réseaux VPN d'accès distant aux intranets. La sécurité généralement a du mal à suivre le rythme des évolutions.

Les informations à protéger sont en fait nombreuses. En ce qui concerne les clients, leur liste, leurs achats, leur carte de paiement par exemple. Les données sur les employés, sur leur rémunération en particulier, ainsi que les informations financières de la société, ou celles relatives à la planification de la production, aux achats, sans parler des bases de connaissance, des brevets.

Les menaces viennent à la fois de l’intérieur et de l’extérieur des entreprises. La grande majorité des problèmes de sécurité sont générés par l’utilisateur agréé du système d’information (employés, partenaires d’affaires), généralement insouciant et inconséquent, mais aussi parfois créateur d’erreurs volontaires. Il faut aussi compter sur de la malveillance de pirates externes, sur des virus largement diffusés ou des attaques très ciblées (déni de service, prolifération de points de présence internet, ...).

Sans être totalement paranoïaque, il faut bien convenir qu’il est particulièrement difficile de mettre en place des moyens de parer toutes les attaques. Un expert du domaine disait d’une façon provocatrice que : « Le seul système vraiment sûr, est celui qui est coulé dans un bloc de béton et placé dans une chambre forte, surveillée par des gardes armés. Mais même ainsi, j’ai des doutes ».

Pour protéger un système d’information, il faut commencer par évaluer les risques, et pour cela il existe des approches spécifiques comme la méthode OCTAVE (Operationally Critical Threat, Asset and Vulnerability Evaluation) ou MEHARI (Méthode Harmonisée d’Analyse des Risques). Il s’agit de déterminer avec rigueur quelles sont les informations sensibles, qui peuvent être parfois de simples données. Il faut évaluer la sensibilité des différents éléments recensés, caractériser les menaces et déterminer les vulnérabilités. Par exemple dans la méthode Méhari, le produit de l’impact de chaque menace et de la potentialité d’occurrence, permet de définir un degré de gravité. Ces derniers peuvent servir à déterminer des objectifs de sécurité, qui sont l’expression de la volonté de contrer des risques identifiés, et être déclinés en fonctions de sécurité, à mettre en œuvre sur le système d’information.

La conception de la sécurité se doit de prendre le problème de façon globale, et il est recommandé de mettre en place une défense en profondeur, où chaque sous système est sécurisé où chaque acteur est mobilisé. La sécurité doit être l’affaire de tous, même s’il est essentiel de nommer un responsable de la sécurité du système d’information. Enfin, la criticité des systèmes est devenue telle, qu’il est indispensable de prévoir un plan de sécurisation organisant soit le redémarrage rapide des systèmes (PRA : plan de reprise d’activité), soit de pouvoir maintenir l’activité grâce à une redondance d’infrastructure (PCA : Plan de Continuité d’Activité). Avec le développement d’entrepôts de données actifs, sollicités par les systèmes opérationnels dans le cadre de processus clés, il y a de plus en plus de clients Teradata qui mettent en place des PRA ou des PCA.

Pour aller plus loin sur le sujet de la sécurité des systèmes d’information vous pouvez utilement consulter les liens ci-dessous :

CLUSIF (Club de la Sécurité de l'Information Français) : http://www.clusif.asso.fr/
Entrepôt de Données Actif : http://bit.ly/aoXM2n



Dans la même rubrique :