La sécurité des systèmes d’information est plus que jamais au cœur des préoccupations de toutes les structures et organisations, qu’elles soient publiques ou privées.

Avec l’ubiquité de l’informatique, les systèmes d’information répartis, l’interconnexion des réseaux et le développement des applications nomades, l’information est devenue le bien le plus précieux de l’entreprise.

Sujette à la convoitise (appât du gain, concurrence, enjeux financiers et stratégiques), il convient de protéger ce patrimoine afin de limiter les risques de captation malveillante émanant de l’extérieur comme de l’intérieur.

Si la non maîtrise des TIC est annoncée par certain comme l’illettrisme des temps moderne, il convient d’être prudent sur leur diffusion rapide et massive, car il ne faut pas sous-estimer leur impact sur la sécurité. S’adapter à cette évolution, l’anticiper apparaît donc comme une nécessité afin d’assurer pleinement la sécurité des systèmes d’information.

Un ouvrage très intéressant est d’ailleurs paru fin décembre 2006 sur le sujet.
Intitulé : “La sécurité des systèmes d’information. Un enjeu majeur pour la France”, il a été réalisé par le Député Pierre Lasbordes* qui y analyse les menaces pouvant peser sur la sécurité de ces systèmes, étudie les dispositions prises par les différents acteurs afin d’assurer la sécurité de leur système d’information et apporte des indications sur leur niveau de protection et leur sensibilité aux enjeux de sécurité...

Dans ce contexte, nous avons choisi de vous parler aujourd’hui d’OpenSphere, une SSII réunionnaise spécialisée dans la sécurité des réseaux et des applications.
Laurent Vandeschricke, responsable du Département Infrastructures Sécurisées fait un point sur ce sujet brûlant en compagnie de Christine Niox-Château Compin, chargée de mission à l’ARTIC.

Comment l’amélioration de la productivité et de la qualité du travail dans le secteur privé et dans les administrations laisse-t-elle apparaître de nouvelles vulnérabilités ?

- La productivité et la qualité du travail passent aujourd’hui par la communication ; les systèmes d’information s’ouvrent, entre clients, fournisseurs, collaborateurs nomades. A cela, il faut ajouter la communication interne entre personnes d’un même groupe, d’un même service, d’une même entreprise. Les outils actuels permettent une interaction permanente entre les travailleurs. L’équation est simple : plus d’échanges et d’ouverture génèrent plus de risques de voir circuler des menaces et la possibilité de laisser s’introduire des clandestins mal intentionnés.

Y a-t-il un accroissement majeur des risques pesant sur les systèmes d’information ? Et comment se caractérise l’émergence de ces menaces ?

- Ce n’est pas forcément l’accroissement des risques pesant sur les systèmes qui est majeur, mais surtout l’accroissement de la quantité, de la sensibilité et du caractère vital des informations stockées ainsi que le nombre potentiel de personnes malintentionnées qui a été décuplé grâce à Internet notamment. C’est aussi la puissance des outils dont disposent ces personnes aujourd’hui et la facilité à se les procurer qui constituent un risque émergent.
D’autre part, des menaces comme le déni de service, qui ne fait “que” priver une entreprise de sa capacité à offrir un service en ligne pendant des heures sans lui voler aucune information, qui constitue également un danger mal connu et pourtant particulièrement préjudiciable.

En quoi (et pourquoi) le développement des TIC et leur diffusion massive favorisent-ils les failles en termes de sécurité ?

- La réponse est simple : la multiplicité. Plus il y a de systèmes différents, plus il y a d’échanges et plus il y a d’ouverture.
Donc, plus il y a de risque d’intrusion et plus grande est la difficulté de se protéger. Il faut considérer la sécurité dans sa globalité, et c’est le maillon faible de la chaîne qui cédera le premier. Il est primordial de bien connaître tous les maillons de cette chaîne, pour pouvoir ensuite les analyser et les sécuriser de manière homogène.

Certaines évolutions technologiques dont les technologies sans fil ne vont pas dans le sens d’un renforcement intrinsèque de la sécurité. Comment peut-on protéger ces nouveaux usages et leurs accès ?

- Il existe de nombreuses possibilités de se protéger. Chacune doit être adaptée à la situation, aussi complexe soit elle. Il n’y pas de protection universelle, car il n’y a pas un besoin universel. Cependant, on constate que, bien souvent, la négligence, due en général à une méconnaissance des risques, fait apparaître des failles de sécurité. Les réseaux Wifi, s’ils sont maîtrisés, peuvent se sécuriser de manière très acceptable.

Parlez-nous d’OpenSphere : votre vocation, vos compétences et les domaines dans lesquels vous intervenez.

- OpenSphere est une structure qui, depuis près de 3 ans, offre ses services dans les domaines des systèmes, des réseaux et des applications sécurisées. Notre activité est aujourd’hui centrée sur la sécurité des systèmes d’information afin de répondre au mieux aux inquiétudes de nos clients. Nous avons la capacité de sécuriser leurs données et leurs infrastructures grâce à la compétence et à la grande expérience d’ingénieurs systèmes et réseau et d’ingénieurs applications sécurisées. Nous apportons une vision experte et exhaustive de la sécurité du système d’information.
Nous auditons, testons les ensembles qui nous sont désignés et apportons conseils et solutions personnalisées pour alimenter les stratégies de sécurité de nos clients.
Ces clients ne sont d’ailleurs pas que des grands comptes. Les PME aussi ont besoin de sécuriser, fiabiliser et garantir leur continuité de fonctionnement.
Parallèlement à cela, nous proposons les formations correspondant à nos connaissances et nous offrons des solutions simples, fiables et bien sûr sécurisées d’échanges de données et de travail en groupe aux PME et TPE. Quel patron ne rêve pas de partager avec son assistante tout ou une partie de ses contacts et de son agenda où qu’il soit sans pour autant investir dans de coûteuses machines et logiciels ?

Quel rapport ont les entreprises réunionnaises avec la sécurité de leur système d’information ? Quelle sensibilité ont-elles au sujet ?

- Le premier souci d’une entreprise est de favoriser sa productivité. Pour cela, elle met en place le plus vite possible l’outil informatique nécessaire. A partir de là, le besoin de développement du système d’information s’autoalimente. C’est souvent une course en avant que nos clients ont du mal à maîtriser. Aujourd’hui, les entreprises réunionnaises prennent conscience de la nécessité de se poser un peu et de garantir la sécurité, c’est-à-dire la disponibilité, la fiabilité, la protection de leurs données.
Nous entendons très rarement parler des attaques ou des actes de malveillance dont sont victimes certaines entreprises. Beaucoup pensent encore que cela n’arrive pas à La Réunion. Malheureusement, notre île n’est pas du tout épargnée. Et le risque principal est bien souvent interne.

Pierre Lasbordes*

Propos recueillis par Christine Niox-Château-Compin,
Chargée de mission à l’ARTIC