Projeter un transfert ou un déménagement conduit souvent à un "arrêt sur image" de l'entreprise et de ses fonctions et services. L'occasion de remettre à jour sa politique de sécurité des réseaux informatiques. Sécurité physique mais aussi logique. Côté physique, le projet s'intéressera forcément aux conditions d'accueil des serveurs et des réseaux proprement dits, à leur sécurisation, à la prévention des risques (incendie, inondation), etc. En général, sur ce point, l'architecte et les services concernés sont sur le pied de guerre. Qu'en est-il de la sécurité logique de ces réseaux qui enferment souvent la vraie richesse de l'entreprise? «C'est une question complexe aux multiples paramètres», convient Ludovic Mé, docteur en informatique et enseignant-chercheur responsable de l'équipe commune Supélec/INRIA CIDre hébergée sur le campus rennais de Supélec.
«L'absence de connaissance, le pire ennemi»
«Le pire ennemi, c'est l'absence de connaissance sur ce que l'on possède exactement en terme de données et une forme de laisser-aller dans la gestion du parc. Les équipes chargées de l'administration de ces réseaux étant souvent sous-dimensionnées dans les PME et PMI, explique-t-il. C'est pourtant le b.a.ba: mettre à jour régulièrement les systèmes, suivre les failles et concevoir les parades. C'est vrai que cela a un coût qui peut ne pas être considéré comme immédiatement rentable mais il faut savoir ce que l'on veut et être capable soit de renforcer son équipe en interne, soit d'externaliser.» Ceci étant posé, le deuxième impératif est d'avoir une connaissance des "biens immatériels" possédés, c'est-à-dire des données stockées.
«Ne pas tomber dans la paranoïa mais...»
«Il ne s'agit pas de tomber dans la paranoïa mais au contraire de bien recenser ce qui sert à quoi et de hiérarchiser. Donc, identifier les biens, les risques, les priorités de l'entreprise pour ensuite se consacrer à la sécurisation de ce qui mérite de l'être», explique Ludovic Mé. La troisième étape consiste à assurer par la mise en oeuvre de moyens techniques adaptés la confidentialité des données, leur intégrité et/ou leur disponibilité. Il s'agit là des trois priorités fondamentales de la sécurité. «Il existe évidemment sur le marché des outils commerciaux très performants mais il y en a aussi dans le domaine public qui ne coûtent rien et peuvent aussi être efficaces», affirme l'enseignant-chercheur.
Quels systèmes d'exploitation?
Quant aux systèmes d'exploitation, sont-ils tous sur un pied d'égalité face aux risques? «Longtemps, il a été dit que les systèmes Microsoft étaient peut-être plus fragiles. Côté serveurs, beaucoup fonctionnent aujourd'hui sous Linux. Mais en fait tous les systèmes présentent des failles. Il n'y a pas de risque zéro. D'où la nécessité d'avoir des équipes d'administration suffisantes.» Ludovic Mé constate que la "piraterie " informatique a nettement évolué ces dernières années. «La tendance globale est à une criminalisation et à un "ciblage" des attaques pour aller chercher telle ou telle information particulière. Les attaques massives sont rapportées par les médias mais c'est la partie visible de l'iceberg! On est loin du bricolage de jeunes hackers potaches!»
Emménager dans de nouveaux locaux est parfois - pour ne pas dire bien souvent - l'occasion de remettre à jour sa politique de sécurité des réseaux informatiques.
