Vers une nouvelle approche de la sécurité
Les malheurs de la Société Générale ou des administrations britanniques peuvent avoir un aspect positif : rappeler l'obsolescence de certaines pratiques de sécurité.
PublicitéL'actualité de la Société Générale, de même que les récentes disparitions de données personnelles par les ministères britanniques, sont un rappel brutal pour tous les responsables informatiques : - Les menaces internes représentent plus de 80% des risques et sont pourtant les plus négligées dans la plupart des entreprises, - L'urgence absolue de remplacer les systèmes à base de couple identifiant/mot de passe qui sont aujourd'hui totalement obsolètes pour protéger les informations vitales et les applications critiques. Si la sécurité informatique a été trop longtemps complexe, obscure, chère sans justification et très difficile à mettre en oeuvre, elle n'est plus dans l'environnement d'aujourd'hui une option. Les nouvelles technologies d'authentification forte à base de cartes à puces, de certificats numériques, de code pin et de signature électronique peuvent être mises en oeuvre très rapidement comme en témoignent les nombreuses réalisations de très grandes entreprises soucieuses de protéger leurs informations et processus critiques. La multiplication des accès distants, la dématérialisation des applications et processus d'entreprises rendent incontournables la mise en place de solution d'authentification forte, de confidentialité et de non répudiation. L'authentification doit garantir l'identité de l'utilisateur et éviter l'usurpation d'identité, le chiffrement permet d'assurer la confidentialité des données en cas de perte, et la non répudiation donne une valeur contractuelle aux transactions entre 2 parties. De plus il est très aisé d'étendre la sécurité à l'accès physique aux locaux par cartes sans contacts renforçant ainsi la sécurité globale. Si les choses se confirment, l'affaire de la Société Générale repose finalement sur un simple vol de mot de passe informatique. Sans avoir disposé des mots de passe de ses collègues, ni fabriqué de faux emails [selon la direction de la Société Générale], jamais le trader n'aurait eu la possibilité de masquer ses opérations. Il est urgent que les DSI qui ne l'ont pas encore fait prennent le temps de dégager les quelques centaines de milliers d'euros et les quelques semaines nécessaires à faire disparaître les mots de passe pour les remplacer par l'authentification forte et généraliser l'usage de la signature électronique en interne des entreprises pour les applications critiques. L'affaire de la société Générale démontre que ce genre de projet ne relève pas d'un savant calcul de ROI mais tout simplement de la pérennité de leur entreprise.
Article rédigé par
Olivier Guilbert, PDG d'OpenTrust
48 ans, diplomé de l'Edhec, il commence sa carrière comme ingénieur commercial chez IBM. Il s'orientera vers le logiciel en commercialisant les premiers logiciels de comptabilité sur Mainframe chez Dun & BradStreet Software, éditeur dont il deviendra directeur Commercial France jusqu'en 1992. Après des responsabilités technico-commerciales chez plusieurs autres prestataires et éditeurs, il arrive chez IDEALX en début 2002 en qualité de directeur commercial avant d'en devenir PDG en août 2002. IDEALX change de nom et devient OpenTrust durant l'été 2007.
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire