La tendance générale actuelle nous sied à une externalisation de plus en plus accru des services de l’entreprise. Grace aux facilités que nous offre la technologie notamment avec le déploiement des réseaux et des terminaux de plus en plus innovants, il devient assez pratique pour plusieurs de se connecter au Système d’Informations de l’entreprise non plus avec le conventionnel poste de travail situé dans les locaux de la dite firme, mais plutôt avec  un périphérique mobile (Tablette, Smartphone, …) ou depuis un réseau distant ne remplissant pas forcement les mêmes standards de sécurité que ceux de l’entreprise. Il en est de même lorsque l’entreprise fait appel à des consultants ou à une tierce partie prenante à qui elle ouvre l’accès à son Système d’Information.

Il est donc clair que l’entreprise, d’une façon ou d’une autre, est amenée à ouvrir son Système d’Informations au monde extérieur ; et à ce niveau, les principes de sécurité périmétrique longtemps utilisés trouvent leurs limites. C’est là qu’intervient la dépérimétrisation de la Sécurité du Système d’Information de l’Entreprise. Essentiellement, la* dépérimétrisation désigne l’extension de l’entreprise hors de sa “zone de contrôle” dont les limites sont plutôt fixes et définies, donc certaines, vers des terrains où l’entreprise n’a plus totalement la matrise de son patrimoine Informationnel, et donc de ses données. Parmi ses représentations les plus visibles nous avons la migration vers l’Informatique dans le nuage (Cloud Computing) et le phénomène de Bring Your Own Device (BYOD*).

Face à ces changement comportementaux et environnementaux au sein de l’entreprise, les mesures de sécurité ayant fait leurs preuves autres fois se trouvent vite dépassées! En effet il ne suffit plus seulement d’ériger des rampars avec les meilleurs Pare-feu et Contrôleurs d’Accès visant à bloquer toute tentative d’entrée dans le réseau depuis “l’extérieur” (pouvant ici être Internet, un device non reconnu, un autres réseaux non-autorisé,… ) car à un moment ou l’autre il faudra ouvrir un accès à tel service du Cloud, à telle Application hébergée en SaaS, à un tel Travailleur en déplacement via un VPN, et ainsi de suite.  Les mesures de Sécurité doivent être adaptées au nouveau contexte d’où la Dépérimétrisation de la Sécurité du Système d’Informations de l’Entreprise.

L’objectif grâce à ceci est de fournir un traitement sécurisé des données de l’entreprise quelque soit le lieu ou le terminal depuis lequel ces données transitent. Cela passe par des mécanismes de cryptage automatique des données traitées, l’usage de protocoles de Sécurité intégrant une forme d’intelligence artificielle embarquée en natif, la possibilité pour les données en cours de traitement de pouvoir authentifier leur détenteur sans pour autant avoir besoin de se connecter sur les serveurs d’authentification situés dans le réseau périmétrique de l’Entreprise.

le groupe de travail ouvert sur la thématique de Sécurité de l’Information nommé Jericho Forum ayant grandement oeuvre pour son intégration à mis sur pieds une série de recommandations, sous forme de commandements, nécessaires à l’implémentation de cette stratégie au sein des Entreprises et ceci fera l’objet d’un futur article.

Valdes T. Nzalli