122 case study
«L’iMPLéMEntation dE soLUtions tEchnoLogiqUEs innovantEs En MatièRE dE MobiLité, viRtUaLisation oU déMatéRiaLisation obLigE-t-ELLE à UnE noUvELLE aPPRochE, En tERMEs dE sécURité dEs systèMEs d’infoRMation?»
Jean Racine Responsable commercial Luxembourg e-Archiving
Laurent Mellinger Managing partner Imrim
L’époque des châteaux forts est révolue «Il fut un temps où seule une enceinte fortifiée permettait de se protéger. Les alentours n’étaient pas sûrs. C’est un périmètre bien protégé, dont les accès étaient limités et soigneusement filtrés, qui permettait de se sentir en sécurité. A une époque où l’on ne se bat plus pour la terre et où posséder l’information est source de pouvoir, les hordes de barbares sanguinaires ont été travesties en hackers félons. Hélas, l’information n’est pas confinée dans un espace clos, sécurisé, à l’accès restreint. Elle est mobile, virtuelle, volatile. Elle se trouve où l’on a besoin d’elle, là où les gens travaillent: au bureau, sur un smartphone, sur l’ordinateur familial ou sur une machine virtuelle dans un datacenter luxembourgeois qui sera indien l’instant d’après. Il faut donc adapter les manières de la protéger. Avant tout, il faut être conscient des dangers et du risque qu’ils représentent. Certes ils évoluent rapidement, mais les systèmes de sécurité aussi. Le problème se pose rarement très longtemps au niveau technique; les solutions existent. Si elles n’existent pas, elles seront inventées demain. Pour pouvoir survivre dans un environnement hostile de ce type, il faut en permanence remettre sa sécurité en question. Evaluer les menaces, mettre en œuvre les parades pour en éliminer certaines, en réduire d’autres et, finalement, accepter de vivre avec quelques-unes. Le secret, c’est de ne jamais se laisser surprendre. Comment? Il est fondamental d’intégrer la gestion des aspects de sécurité au cœur des projets et ce, dès leur naissance. Appréhender la sécurité en tant que processus permet d’assurer une bonne maîtrise des risques initiaux et surtout leur suivi dans le temps. Chaque jour apportant son lot de nouvelles menaces, il est devenu impératif de maintenir une attention permanente sur la sécurité de ses données.»
La recette de la sécurité de l’information toujours plus épicée... «D’après le dicton, c’est dans les vieux pots qu’on fait la meilleure soupe... Est-ce à dire que la recette de la sécurité informatique est toujours la même? Toutes les sociétés qui, comme Luxembourg e-Archiving, souhaitent prouver leur engagement constant en la matière et préparent la certification ISO 27001 (pour commencer), constatent que les principaux ingrédients sont toujours les mêmes: confidentialité, intégrité, disponibilité. Pour autant, la bonne combinaison devient plus complexe à réaliser. Quand l’information est de plus en plus souvent stockée hors les murs de l’entreprise, confiée à un tiers (archiveur par exemple) voire délocalisée dans le cloud, la confidentialité devient un impératif absolu. Pour la garantir, l’introduction d’une pincée de chiffrement des données s’impose, à doser avec précaution pour éviter l’indigestion! En parallèle à la dématérialisation des documents, l’intégrité devient une exigence pour maintenir la valeur de preuve légale de l’information, pendant une durée largement supérieure à celle d’une technologie. Avec l’intégrité, il faudra donc certainement introduire dans la préparation un bouquet garni mixant traces d’audit (signées), empreintes (signatures) numériques, contrôles périodiques et troisième copie. Quant à la disponibilité, elle ne consiste plus seulement à promettre et protéger l’accès, interne et externe, mais aussi à préserver l’intelligibilité de l’information et des données. Ce qui requiert, en amont, le choix de formats de conservation ‘pérennes’ et, en aval, la mise en œuvre de nouveaux mécanismes de migration numérique, avec ré-encodage des données, pour faire face au problème de rétrocompatibilité. En cuisine, comme en informatique, l’expérience et le professionnalisme sont les garants du succès... A vos fourneaux!»
paperjam | Septembre-Octobre 2010 | management
11_118-126_case_study.indd 122
09.09.2010 21:57:28 Uhr