Contributions

Paroles d'experts

Olivier Guilbert

Vers une nouvelle approche de la sécurité

Olivier Guilbert - PDG d'OpenTrust


(18/02/2008)

Les malheurs de la Société Générale ou des administrations britanniques peuvent avoir un aspect positif : rappeler l'obsolescence de certaines pratiques de sécurité.

L'actualité de la Société Générale, de même que les récentes disparitions de données personnelles par les ministères britanniques, sont un rappel brutal pour tous les responsables informatiques :
- Les menaces internes représentent plus de 80% des risques et sont pourtant les plus négligées dans la plupart des entreprises,
- L'urgence absolue de remplacer les systèmes à base de couple identifiant/mot de passe qui sont aujourd'hui totalement obsolètes pour protéger les informations vitales et les applications critiques.
Si la sécurité informatique a été trop longtemps complexe, obscure, chère sans justification et très difficile à mettre en oeuvre, elle n'est plus dans l'environnement d'aujourd'hui une option.
Les nouvelles technologies d'authentification forte à base de cartes à puces, de certificats numériques, de code pin et de signature électronique peuvent être mises en oeuvre très rapidement comme en témoignent les nombreuses réalisations de très grandes entreprises soucieuses de protéger leurs informations et processus critiques.
La multiplication des accès distants, la dématérialisation des applications et processus d'entreprises rendent incontournables la mise en place de solution d'authentification forte, de confidentialité et de non répudiation. L'authentification doit garantir l'identité de l'utilisateur et éviter l'usurpation d'identité, le chiffrement permet d'assurer la confidentialité des données en cas de perte, et la non répudiation donne une valeur contractuelle aux transactions entre 2 parties. De plus il est très aisé d'étendre la sécurité à l'accès physique aux locaux par cartes sans contacts renforçant ainsi la sécurité globale.
Si les choses se confirment, l'affaire de la Société Générale repose finalement sur un simple vol de mot de passe informatique. Sans avoir disposé des mots de passe de ses collègues, ni fabriqué de faux emails [selon la direction de la Société Générale], jamais le trader n'aurait eu la possibilité de masquer ses opérations.

Il est urgent que les DSI qui ne l'ont pas encore fait prennent le temps de dégager les quelques centaines de milliers d'euros et les quelques semaines nécessaires à faire disparaître les mots de passe pour les remplacer par l'authentification forte et généraliser l'usage de la signature électronique en interne des entreprises pour les applications critiques.

L'affaire de la société Générale démontre que ce genre de projet ne relève pas d'un savant calcul de ROI mais tout simplement de la pérennité de leur entreprise.

Rejoignez cio-online.com, commentez cet article
Nombre de commentaires postés (0) - Lire tous les commentaires
Pour commenter cet article inscrivez vous ou identifiez vous ci-dessous si vous êtes déjà inscrit :

Email :
Mot de passe :  oublié ?
Mémoriser mes identifiants
Recherche
Sondage flash
Etes-vous "on the cloud" ?
Conférences
22/05/2008
SECTEUR PUBLIC
De 8h30 à 14h00 à l'Automobile Club de France - Paris 8è
  s'inscrire
conférencestoutes les
conférences
Agenda
Du jeudi 22 mai 2008 au jeudi 22 mai 2008
Secteur Public - Un rôle majeur dans l'adoption des nouvelles technologies
l'Automobile Club de France - Paris 8ème
en savoir plus
agendatout
l'agenda