stratégie de sécurité Microsoft : résumé de la session #MSTechdays

J’ai eu la chance d’assister au Microsoft Techdays et, comme d’habitude, j’en ai profité pour écrire quelques lignes pour le blog sécurité. Il était assez intéressant d’entendre des bribes de phrases quasiment copiées collées du #FIC2014… et de ressentir les mêmes frustrations ! Bref, voici ce que j’ai retenu de la session stratégie de sécurité animée par Bernard Ourghanlian, CTO & CSO Microsoft France.

l’état des lieux de la cybersécurité

Cette conférence a débuté par une sorte de « tarte à la crème » pour reprendre les mots du speaker : les quatre grandes tendances technologiques qui impactent le domaine de la sécurité. Rien de nouveau mais ça permet de cadrer la conférence :

  • la mobilité : la population des collaborateurs mobiles représentera 1,3 milliard (soit plus de 37% du total de la main d’œuvre) en 2015
  • le social : 65% des entreprises déploient au moins un outil de réseau social
  • le Cloud : plus de 80% des nouvelles applications ont été distribuées sur/depuis des Clouds en 2012
  • le big data : dans les cinq prochaines années, les données non structurées subiront une croissance de 80%

Par la suite, Ourghanlian a dressé un panorama des tendances côté attaquants et défenseurs. De nouveau, rien d’extraordinaire. Je le résumerai donc à un ciblage spécifique de la part des attaquants et une volonté inutile de la part des défenseurs de tout sécuriser de la même manière. Un panorama plutôt négatif donc. A tel point que le speaker a cité le sondage du #FIC2014 : 66% des participants avait en effet décrété que la sécurité était un échec ! Quand je vous disais que l’on croyait parfois entendre un intervenant du FIC ! J

Pour finir avec ce qui était considéré comme banal, Microsoft a bien insisté sur le fait que la sécurité en mode château fort appartenait au passé et qu’il fallait absolument s’en défaire. Personnellement, je ne m’attendais pas à ce que Ourghanlian appuie tant cette phrase mais malheureusement il y encore trop de monde dans cet état d’esprit selon lui…

innovation métier versus besoins cybersécurité

Suite à cet état des lieux, la conférence s’est tournée vers quelque chose de centré sur l’utilisateur. En effet, selon Ourghanlian, le principal problème des stratégies de sécurité actuelles est d’être décorrélées de la réalité des entreprises. Les divisions métier ont besoin de réseaux sociaux pour innover ? Inutile de lutter contre. Telle unité a besoin de travailler en mobilité ?  Il faut faire avec. Etc.

Si les besoins cybersécurité sont d’avoir des identités correctement gérées, des menaces traitées comme il se doit et ainsi de suite, il ne faut pas oublier que ces besoins ne sont là « que » pour supporter les métiers et l’entreprise en général. Traîner des pieds en chemin est donc contreproductif. Encore plus quand ce sont les métiers qui ont l’argent et/ou le pouvoir politique souligne Ourghanlian.

un long chemin pour la cybersécurité

Il faut donc permettre aux utilisateurs d’utiliser les terminaux qu’ils choisissent : mettre en place un single sign-on, fédérer les identités et enregistrer les appareils personnels aux yeux de l’IT.

Ourghanlian a aussi insisté sur le besoin de connecter les gens entre eux et d’accélérer la collaboration sécurisée notamment en incluant le contexte d’accès à l’équation générale (l’identité présentée, le niveau de confiance du terminal mobile, la localisation, la force de l’authentification mais aussi le degré de sensibilité de la donnée dont l’accès est demandé).

Ce dernier point est très important selon Ourghanlian : « l’IT doit être en mesure de sécuriser, classifier et protéger les données en fonction du contenu ». En résumé, tout sécuriser à fond ne sert à rien car 90% des données d’un SI ne seraient pas sensibles. Il y a tout un monde entre le 0 et le 1 et c’est ce monde-là qui peut débloquer des situations de mobilité ou de BYOD.

Rémi