La sécurité a souvent changé d'orientation au cours des années. La sécurité d'accès physique et logique du mainframe dans les années 70, le réseau local dans les années 80, puis plus généralement dans les années 90 sur l'infrastructure interne de l'entreprise, et nous y sommes encore (normes ISO xxx oblige).
Mais avoir l'attention rivée vers l'intérieur du périmètre semble aujourd'hui obsolète (à ceux qui vont critiquer cette phrase, je précise bien rivé, je ne dis pas qu'il ne faut plus le faire, mais il ne faut pas faire que cela), à cause des nouveaux mode de travail type mobilité, Grid computing, SAAS,... L'attention doit se porter sur les utilisateurs de l'informatique qui ont de nouveaux usages (travail à la maison, réseaux sociaux) et font sauter les barrières entre la vie professionnelle et la vie privée. La notion de travail héritée de l'âge industriel est très normalisé. Le travail doit se faire dans tel type de bâtiment, sur une certaine plage horaire, avec les outils d'entreprise. La tendance est à l'éloignement de ce concept. Les entreprises ne le comprenant pas risquent de se retrouver rapidement obsolètes. La sécurité doit aussi s'adapter ou mourir. Il est des entreprises qui au nom de la sécurité logue tous les activités des utilisateurs (une bonne pratique en soit), et recense les « déviants » ceux qui n'utilisent pas comme les responsables le souhaiterait les ressources informatiques. Que se passera t il pour eux quand l'entreprise recensera 99% de déviants ? Un produit n'est plus fait pour une entreprise mais pour les consommateurs. Le succès de l'Iphone en entreprise en est un vivant exemple, jusqu'à quand pourra t il être ignoré ou banni ? Combat d'arrière garde s'il en est, comme d'interdire purement et simplement les réseaux sociaux en entreprise. La sécurité au lieu d'interdire devrait plutôt se demander comment intégrer ces produits et services, qui de toutes façons avec ou sans eux rentreront dans l'entreprise. Il faut s'adapter rapidement (regarder ce qui est arrivé aux dinosaures) et informer et former les utilisateurs aux dangers de ce nouveau type de travail. Le vrai défi de la sécurité est de comprendre, accepter, et gérer les risques sur un environnement particulièrement fluctuant pas de disposer systématiquement du droit de veto.
To be continued
_