Lorsqu'une entreprise se lance dans le e-commerce, elle se voit souvent dans l'obligation d'optimiser son processus d'affaire en intégrant des systèmes d'échanges d'informations avec ses collaborateurs (fournisseurs, entreprises clientes). Pour cela, il existe plusieurs options, dont la mise en place d'échanges d'information entre systèmes d'intégration (ERP ou EAI) par des workflow. De cette manière deux entreprises peuvent mettre en partage des informations pour optimiser leur processus d'affaire.
Néanmoins, dès que des informations sont accessibles par d'autres sur un réseau, celui-ci peut encourir des risques d'attaques, en particulier pour les grandes entreprises qui doivent protéger des données stratégiques. Le risque est souvent encore plus grand quand l'interface Internet de l'entreprise est reliée à sa base de données. Pour cette raison, il est nécessaire de mettre en place une politique de sécurité.
La première pierre sera de conceptualiser une architecture de la sécurisation des données de l'entreprise (EISA). Le modèle, appelé BITS, sera construit autour de quatre architectures existantes (d'affaires, d'informations, de technologie et de sécurité). Concrètement l'entreprise devra intégrer dans son framework l'aspect de la sécurité, comme le montre le schéma ci-dessous.
Néanmoins, dès que des informations sont accessibles par d'autres sur un réseau, celui-ci peut encourir des risques d'attaques, en particulier pour les grandes entreprises qui doivent protéger des données stratégiques. Le risque est souvent encore plus grand quand l'interface Internet de l'entreprise est reliée à sa base de données. Pour cette raison, il est nécessaire de mettre en place une politique de sécurité.
La première pierre sera de conceptualiser une architecture de la sécurisation des données de l'entreprise (EISA). Le modèle, appelé BITS, sera construit autour de quatre architectures existantes (d'affaires, d'informations, de technologie et de sécurité). Concrètement l'entreprise devra intégrer dans son framework l'aspect de la sécurité, comme le montre le schéma ci-dessous.
En terme d'application, il existe plusieurs outils. Tout d'abord, il est possible de mettre en place une programme cryptographiant les données pour que seuls les ordinateurs des bons utilisateurs puissent consulter l'information. Des logiciels tels que GNUPG ou PGP sont par exemple utilisés pour les échanges de courriels.
Il est ensuite possible d'utiliser des outils pour les contrôles d'accès. Le mécanisme de ces outils est l'identification et l'authentification. Pour exemples, peuvent utiliser "Role-based access control", utilisé par Database Management Systems, "Group Policy Objects" fourni dans Windows network systems, puis Kerberos, RADIUS ou TACACS qui sont des listes d'accès utilisées dans de nombreux firewalls et routeurs.
Après il existe des systèmes de protection plus poussé qui sont souvent liés aux technologies de pointe, tel que le grand miroir noir qui recouvre le quartier général de la NSA à Fort Meade, Maryland. Sous cette surface de verre se trouve une couche de cuivre alimentée par un courant électrique qui enveloppe le bâtiment dans une bulle à IEM (impulsion électromagnétique) qui empêche la surveillance électronique à distance. S'il s'agit d'un système de protection peu commun, cela pourrait être également utilisé par des grandes multinationales dans l'avenir.
Mais la meilleure solution reste la protection en profondeur de l'information. Il s'agit de la sécurisation des portes d'accès à l'information, c'est-à-dire tout d'abord au niveau de l'information (cryptographie par exemple), des applications connectées à l'information, puis au serveur jusqu'au réseau. L'idéal est donc d'utiliser des nombreux outils à différents niveaux du système d'information afin de protéger ses données.
Si les coûts peuvent très vite monter, ses solutions extrêmes concernent essentiellement les entreprises évoluant dans un contexte très compétitif et où l'interception d'une information stratégique peut signifier des pertes de plusieurs millions de dollars.
Liens:
Enterprise Information Security Architecture
National Institute of Health Enterprise Architecture
Sécurité et e-Commerce
Information Security
Aucun commentaire:
Enregistrer un commentaire