Démarche de sécurité

Sous l'effet de la pression économique, les systèmes d'information évoluent aujourd'hui très rapidement favorisant la dématérialisation des échanges et relations ainsi que l'interconnexion des réseaux. Le réseau est devenu une composante essentielle et vitale du système d'information car de plus en plus de services ou applications en dépendent.

Dans ce contexte et face au développement de la malveillance informatique, tant interne qu'externe, les besoins de sécurité sont de plus en plus forts et, au-delà de la protection et du contrôle, représentent des enjeux permettant le développement des relations commerciales et le maintien de la compétitivité des entreprises.

Identifier et analyser les besoins

Au sein d'un environnement réseau ouvert, les besoins de sécurité sont de différentes natures :

• Préserver l'intégrité et la confidentialité des informations sensibles (transactions, messages électroniques, documents, flux,...),
• Contrôler l'identité des utilisateurs et les accès aux ressources,
• Protéger les points d'interconnexion et les services réseaux sensibles,
• Assurer la disponibilité et l'auditabilité des ressources.
  
  

La sécurité : un état d'esprit

Chez EdelWeb, nous sommes convaincus que la sécurité est avant tout :

• Un enjeu lié aux services et aux applications. La sécurité n'est pas une fin en soi, c'est une composante de l'infrastructure et de l'environnement, au service et au bénéfice des applications. Il n'y a pas de bonnes ou de mauvaises solutions ; il existe des solutions plus ou moins bien adaptées aux risques et enjeux.
• Une question de démarche, d'état d'esprit et de confiance. Bien plus qu'un investissement, la sécurité appartient au fonctionnement tant sur les plans organisationnels que méthodologiques ou économiques.

L'analyse des risques doit être à la base de tout projet de sécurité afin de pouvoir définir le niveau de protection requis en fonction des enjeux.

L'une des tâches les plus difficiles est bien souvent de définir précisément ses besoins de sécurité en fonction du type de menace et de risque, et ce, au sein d'un environnement technique et fonctionnel de plus en plus complexe.

La sécurité : une méthodologie

En environnement réseau ouvert, la sécurité commence par une parfaite visibilité sur son réseau d'entreprise (transparence vs obscurité) : infrastructure, points d'accès, ressources et utilisateurs connectés, flux.

Afin de bâtir une solution de sécurité robuste et adaptée, et parce qu'il est inutile mettre en oeuvre un dispositif de sécurité inadapté, mal conçu, mal configuré ou mal exploité, il est nécessaire de :

• définir le plus précisément ses besoins de sécurité en intégrant les contraintes,
• concevoir une architecture de sécurité évolutive,
• définir et implémenter les règles de sécurité par la configuration des composants,
• contrôler le respect de la politique de sécurité,
• évaluer la robustesse de l'architecture de sécurité, périodiquement et lors de chaque évolution significative,
• maintenir le niveau de sécurité en fonction de l'évolution du système d'information et des menaces.