Locarchives : Le RSSI au gré de la confidentialité et des contrôles d’accès

Gérer les accès en toute intelligence et simplicité sans tomber dans les excès, telle est la mission des RSSI désormais. Retour sur le sujet avec Hervé Streiff, RSSI chez Locarchives qui nous livre sa vision sécurité aujourd’hui.

IT Pro Magazine : quelle est la différence entre les RSSI d’hier et d’aujourd’hui ? Peut-on parler d’une prise de conscience sécurité ?

Hervé Streiff : Oui, le RSSI est traditionnellement issu d’une DSI avec un profil expert technique. Il tend à sortir de la DSI pour un rattachement « Conformité / contrôle interne » rattaché à la Direction pour plus d’indépendance mais également pour élargir le périmètre à l’organisation, la sécurité physique, la prise en compte du « facteur humain » en tant que risque principal pour la sécurité du patrimoine informationnel de l’organisme. Cette tendance a déjà eu lieu dans le nucléaire ou l’aéronautique quand les analyses de risque ont montré qu’il est plus simple de fiabiliser une machine que l’ensemble des hommes qui la conduisent. En synthèse, il ne s’agit plus d’être responsable de la sécurité du « système d’information » mais des informations au sens large. A ce titre, chez Locarchives, la fonction RSSI est pilotée par un responsable du service « conformité et sécurité de l’information » qui dispose de deux relais sécurité au niveau de la DSI (sécurité de l’infrastructure et sécurité des développements) et de l’ensemble des relais « pilotes de processus » pour l’organisation de l’entreprise.

Comment abordez-vous les problématiques de confidentialité et de contrôle d’accès ?

Locarchives propose un système d’archivage en mode SaaS. La gestion des accès est centrale dans la problématique de la confidentialité car nous devons prendre en compte deux « modes d’accès », le mode d’accès par les clients externes au SI (clients du SaaS) et le mode d’accès par les utilisateurs internes Locarchives au SI. Notre politique est de fournir tous les moyens aux clients d’administrer les droits d’accès de leurs propres utilisateurs dans la plate-forme en mode SaaS de telle manière que l’opérateur n’ait pas besoin d’accéder aux fonds documentaires des clients. La gestion fine des droits d’accès des utilisateurs dépend des profils d’archivage paramétrés dans le système, conformément à la politique de classification documentaire du client.

(((IMG8079)))

La sécurité de l’accès est renforcée par une authentification forte des utilisateurs pour l’accès aux informations sensibles. Concernant l’accès par les utilisateurs internes au SI, il s’agit clairement de segmenter les rôles entre les différents opérateurs internes et d’anonymiser autant que possible les objets à protéger. Ces principes font partie des gènes de l’entreprise car ils sont appliqués depuis 30 ans pour les archives physiques. Les personnels qui ont accès à une boîte d’archives ne voient qu’un numéro banalisé, stocké aléatoirement parmi des millions d’autres boîtes. Ils n’ont pas accès aux métadonnées de description des contenus. Et les personnels qui ont accès à la métadonnée de description du contenu de la boîte (les clients) n’ont pas accès aux espaces de stockage et ne connaissent pas l’emplacement de la boîte.

En cas d’intrusion physique dans un entrepôt, l’intrus ne peut pas cibler une boîte d’archives sans avoir également piraté le système de description de contenu et également le système localisant la boîte d’archives, ce qui serait techniquement très complexe. Cette logique est transposée pour les archives électroniques car un opérateur ou hacker qui aurait accès à une baie de stockage ne verrait qu’un ensemble de références banalisées et non lisibles directement. Ceci est complété par une architecture de défense en profondeur, une démarche ISO 27001 et un usage de technologies de chiffrement.

Si vous deviez insister sur un point précis côté Sécurité aujourd’hui en entreprise ?

Il s’agit clairement de bien gérer les accès aux systèmes d’information sans tomber dans la paranoïa qui mène toujours à augmenter les contraintes pour les utilisateurs, qui, en final contournent les sécurités ou n’utilisent plus les services. La sécurité réside bien dans l’intelligence que met l’entreprise dans les innovations permettant de sécuriser les accès tout en simplifiant l’usage des systèmes pour des utilisateurs de plus en plus mobiles.