Véritable cauchemar pour les directions des systèmes d'information (DSI) des entreprises comme pour celles des administrations, la sécurité des SI et des parcs informatiques associés (stations de travail, PC portables) constitue une préoccupation grandissante. En effet, comment se prémunir de menaces toujours plus pressantes pouvant à la fois impacter la productivité voire, dans le pire des cas, permettre la diffusion de données sensibles vers des utilisateurs non autorisés (que ce soit par négligence ou suite à une intrusion) ? Et les exemples ne manquent pas : espionnages industriels, vols de données au travers d'une connexion de périphériques non autorisés, perte de matériel comme dernièrement pour l'un des collaborateurs du fameux cabinet d'analyste Forester...
Autant de situations différentes avec comme point commun un accès non souhaité à des données confidentielles. De plus, en raison de la normalisation et de la croissance exponentielle des échanges électroniques, les données (véritable patrimoine numérique des entreprises) atteignent aujourd'hui une valorisation importante pouvant aisément représenter plusieurs millions d'euros. Les notions de nomadisme (home office) et l'essor des technologies mobiles (PC portables communicants) viennent également compliquer la mise en oeuvre d'une politique de sécurité efficace. Alors comment faire pour se protéger ? Comment imaginer les nouveaux moyens d'authentification de demain ?
A ce jour, les professionnels de la sécurité informatique (éditeurs, constructeurs, sociétés de services) proposent un panel d'outils complémentaires qui constituent un empilage de solutions approximatives en réponse à des attaques réussies. Ces solutions arrivent trop tard et elles perturbent l'utilisateur honnête. Ainsi, la multiplication des mots de passe est une incitation à l'usage du post-it, l'interdiction de l'usage d'un périphérique commode, mais potentiellement dangereux un encouragement à outrepasser les règles.
Alors oui, l'heure est désormais à l'innovation qui doit intégrer l'évolution rapide des usages, des comportements et des technologies. L'une des approches les plus abouties consiste à prendre en compte la notion d'ADN numérique. Basée sur un principe de signature unique, elle permet de garantir l'authentification en ne prenant en compte des données non copiables ni duplicables.
De quoi s'agit-il ? Tout composant numérique peut être identifié de façon unique. Cette propriété, utilisée par les constructeurs et en partie par les systèmes d'exploitation est désormais mise à profit pour proposer une nouvelle approche à la sécurité et prévenir à la fois le vol des données et le vol des équipements. Grâce à cette technologie, un appareil complexe peut être identifié par une combinaison de certains de ses composants, et on peut apparier deux équipements, ou un appareil et son logiciel, de façon difficilement falsifiable. L'identification peut même se réaliser à distance, via Internet.
Imaginons une clé USB ou un disque dur qui ne pourraient être lus et autorisés que sur un poste de travail déterminé. Leur perte ou leur vol ne serait alors plus préjudiciable et le matériel intégralement inutilisable. Au niveau des technologies sans contact, et plus particulièrement du paiement par badges, qui représente un enjeu majeur pour de nombreuses DSI, imaginons des badges qui détecteraient des lecteurs autorisés et ne pourraient être utilisés sur des lecteurs pirates. L'accès à un compte bancaire en ligne pourrait être limité à l'ordinateur et au téléphone portable de son propriétaire. Au-delà de ces quelques exemples, de nombreux domaines d'application sont alors possibles !
Cette approche de l'ADN numérique permet donc de simplifier les processus de gestion de la sécurité. Elle libère l'utilisateur au lieu de lui compliquer la vie, elle devance les pirates en proposant une mesure générique et difficilement falsifiable.
Michel Frenkiel, directeur associé Mobilegov.