Sécurité informatique, bonnes pratiques et Cloud
L’informatique nomade se banalise, ce qui accroît les besoins de sécurisation. Pour répondre à ces derniers, les prestataires spécialisés multiplient les offres désormais souvent accessibles dans le « Cloud ». Difficulté, ces offres externalisées restent difficiles à appréhender et n’excluent pas de sécuriser en interne. Quelques repères pour s'y retrouver.
Pour les entreprises, la banalisation des tablettes, des iPad, et autres terminaux mobiles rime avec une aggravation du risque de perte ou de vol d’informations importantes. Pour répondre à ces nouveaux besoins et développer leurs services, des prestataires spécialisés proposent une offre diversifiée autour de la sécurité. Une offre de plus en plus souvent placée sous le signe du « Cloud », c'est-à-dire externalisée, et qui est censée tout prendre en compte. Mais confier la totalité de son informatique à un prestataire externe nécessite d’apporter un soin particulier pour vérifier si le service est bien en adéquation avec le besoin. Une démarche qui porte autant sur l’offre que sur la demande. En matière de Cloud, « les demandes des responsables informatiques sont parfois excessives. Ils exigent une sécurité disproportionnée avec la valeur des données à protéger et sans rapport avec le niveau de sécurité existant pour leur informatique interne », décrit Alain Rabary, PDG de Val Informatique, un éditeur de logiciel en mode SaaS (Software as a Service). En outre, cette externalisation n’empêche pas d’avoir à sécuriser a minima sa propre informatique. Quelques pistes pour s'y retrouver.
Protéger son matériel et définir ses besoins
Avant tout, il importe de définir les données à sécuriser. Une partie de ces données, même externalisées - des documents, des courriels contenant des bons de commande ou des factures - sont souvent d'abord stockées sur des ordinateurs portables. Or il convient d’avoir à l’esprit que la durée de vie des disques durs de PC et des médias amovibles (CD, DVD) ne dépasse pas quatre années en moyenne. C'est le résultat d'une étude menée par l’Académie des sciences*. Pour pallier ce risque, outre les sauvegardes régulières, il importe dans un premier temps de changer régulièrement les équipements. L'utilisation croissante de smartphones en entreprise suppose la même démarche, sous peine de perdre quelques heures ou quelques journées de travail. Pour le côté logiciel, il s'agit de s'assurer que les portables sont protégés avec des solutions professionnelles, notamment en termes d'antivirus. Enfin, démarche souvent omise, lorsqu’un ordinateur portable est utilisé par un collaborateur pour des raisons personnelles comme professionnelles, des environnements de travail distincts, professionnels et personnels, sur les ordinateurs portables, limiteront les risques. Ces procédures n’évitent pas d’avoir à sauvegarder les données. Une alternative simple est accessible à toute entreprise : automatiser l'envoi des documents sur l'infrastructure d'un prestataire spécialisé. Mais cette démarche suppose de démarrer par une analyse des besoins dans le but de ne pas tout sauvegarder.
Quelles données et quels documents doivent être conservés ?
La plupart des prestataires facturent la conservation des documents numériques au volume, en fonction du nombre de documents et/ou du volume de stockage. Donc, afin de limiter les coûts, il importe de ne pas tout conserver. Autre raison de faire le tri, tout conserver va se traduire par plus de difficultés en cas de recherches ultérieures. Par exemple, dans le cadre d’un litige commercial, il reste préférable de ne conserver que la version finale de la proposition de prix et non toutes les versions intermédiaires. La question ne se pose pas pour les documents soumis à des obligations réglementaires de conservation, les factures par exemple. Concernant les courriels, la démarche est la même. Ne sont à conserver que ceux pouvant être utiles dans le cas de litiges commerciaux notamment.
Définir des règles de conservation
Certains éditeurs proposent des solutions facilitant l'établissement de règles de stockage en fonction de la présence de mots tels que commande, litige ou bon de commande dans les courriels. Par exemple, les solutions d’Axway permettent de définir et gérer des règles de sécurité du courrier électronique. Des contrôles intuitifs facilitent l’application de règles portant sur le contenu, les utilisateurs, les destinataires et les pièces jointes. Il est possible de filtrer le contenu de tous les messages sortants et leurs pièces jointes pour identifier les informations sensibles, suspectes ou confidentielles et éviter qu’elles ne quittent le réseau de l’entreprise. Le paramétrage est défini grâce à de simples cases à cocher dans l’interface utilisateur.
Surveiller l’accès à Internet
Autre aspect souvent négligé, sécuriser l'accès à Internet au moyen de logiciels spécialisés, tels des proxy et des pare-feux, reste nécessaire. Même si la plupart des pertes de données découlent de problèmes matériels, le vol de données est une réalité. Des éditeurs comme Olfeo proposent des outils pour mieux contrôler cette « porte d’entrée ». Paramétrable, l’offre de cet éditeur comporte le filtrage d’URL, de protocolaire, un proxy, un antivirus et le portail public. Des solutions qui n’imposent pas d’installation, ni de compétences parce qu’elles sont souvent proposées en mode Saas, c’est à dire accessibles en ligne. La surveillance des évènements reste dévolue à des spécialistes.
Crypter les données
Autre danger, les données courent le risque d’être volées pendant le transfert sur les réseaux. Protéger les données qui transitent par les réseaux n'est pas une obligation mais limite les risques. Un courriel intercepté par un concurrent, même par erreur, peut avoir des conséquences néfastes. « Sécuriser le transfert des données, c’est empêcher que celles-ci puissent être compromises, copiées, volées, supprimées, etc… lors de leur déplacement. Toutefois, si les données sont cryptées à la source, elles transitent chiffrées, et sont stockées chiffrées sur le serveur. Le chiffrement rend les données illisibles et inexploitables aux personnes ne disposant pas de la clé », souligne Xavier Dreux, responsable marketing et communication chez Prim’X.
Vérifier le niveau de service
Quelle que soit la technique utilisée, le plus important réside dans les services associés. « En cas de problèmes techniques, notre offre standard garantit une remise à disposition des applications logicielles et des données dans les 4 heures », décrit Alain Rabary, de Val Informatique. Un délai suffisant pour la plupart des entreprises mais qui peut être réduit. Des offres dites de « disaster recovery » assurent une remise à disposition des données presque en temps réel. Outre le délai, l’assistance téléphonique est à prendre en considération. Ne pas arriver à joindre son fournisseur en cas de problème peut devenir problématique. Même question sur le support prévu ou non en cas de recherche documentaire. Le contrat de Service Level Agreement, SLA, définit souvent tous ces points.
En restant simple
Autre facteur, les solutions choisies doivent rester simples d’utilisation sous peine de ne pas être adoptées par les collaborateurs. Pour Xavier Dreux, « le critère de choix ne se situe pas au niveau du type de données mais à celui de la solution logicielle, qui doit être transparente pour l’utilisateur et ne rien changer à ses habitudes de travail ». Prendre en compte tous ces facteurs peut paraître complexe. Mais reste plus facile qu’il n’y paraît car les offres « Cloud » prennent en charge les aspects techniques. Les deux principales difficultés consistent à sélectionner un niveau de sécurité en adéquation avec les informations à protéger et à trouver un prestataire couvrant la totalité des besoins. Alain Rabary conclut en annonçant que « le projet Secure Virtual Cloud sur lequel nous travaillons réunit un consortium de 10 entreprises. Il vise à intégrer services et outils. Les offres packagées de sécurisation du Cloud seront disponibles très rapidement »
Patrick BRÉBION
*www.canalacademie.com/ida5708-La-vie-limitee-des-disques-durs-cles-USB-CD-et-DVD.html
| Deux questions à Philippe Rèbre, directeur d'Owentis Quels sont les bénéfices de la sauvegarde en ligne ? > Ce système permet de diminuer les coûts informatiques pour plusieurs raisons. D’abord, parce que les offres sont transparentes et excluent tout coût caché, et qu'ensuite elles correspondent au service réellement consommé. Ce dernier point est important parce qu’il laisse à l’entreprise toute latitude pour faire évoluer ses besoins à la hausse comme à la baisse. La croissance du marché des solutions de sauvegarde en ligne s’explique enfin par l’avènement des offres Saas qui ont gagné en maturité et en performance. Et qu’en est-il de la sécurité ? > Opter pour la sauvegarde en ligne permet de garantir la sécurité des données et évite tout blocage de l’entreprise en cas de perte, de vol ou de destruction des données. L’externalisation protège un capital devenu patrimoine numérique. Elle libère l’entreprise de la maintenance des systèmes associés et de la gestion des espaces de stockage toujours plus gourmands. De plus, les prestataires utilisent les technologies les plus performantes pour des raisons évidentes de productivité, ce que ne peut se permettre l’entreprise non spécialisée. |
Patrick Brébion
Après des débuts dans le développement logiciel, Patrick est devenu journaliste dans les années 90. Depuis, il couvre de nombreux sujets pour la presse BtoB avec une prédilection pour les technologies de l’information.