La ruée vers la donnée (saga de l'été?)

Cela fait bien longtemps que je n'ai joué sur un ordinateur, les jeux devenant trop complexes pour moi. Néanmoins, je me souviens que pour passer un niveau, il fallait toujours se mesurer à un « boss ». Or, j'ai un peu l'impression que le monde de la sécurité est un gigantesque jeu vidéo, on commence par des choses simples puis de plus en plus complexes. La seule différence est que pour la sécurité, on croit toujours qu'il s'agit du dernier niveau, et c'est déçu que l'on passe à un autre plus difficile même si on n'a pas tué le boss, contrairement aux jeux où l'on attend avec impatience le niveau supérieur en ayant fait le ménage complet sur les niveaux inférieurs.


Et la sécurité se « crée » des boss, non on parle plutôt de menaces pour faire un peu plus sérieux. Au départ, la menace externe et le piratage (d'ailleurs bizarre de commencer par seulement 20% des menaces potentielles), puis les malwares, puis le spam, avec des résultats variables, et parfois des boss non éliminés en cours de route. Puis un petit malin (il faut bien le dire), s'est dit, puisque c'est l'utilisateur qui travaille au sein de l'entreprise, protégeons le (en fait l'utilisateur ne nous intéresse pas, grave erreur)ou plutôt son outil de travail. Idée de départ vers la révélation, vers la lumière... La sécurité du poste de travail étant (déjà) obsolète avant d'avoir commencé (ou plutôt un niveau où le boss est encore bien en vie !). On se tourne maintenant vers le nouveau niveau de jeu, et c'est juré craché, le dernier, la protection de la donnée sous toute ses formes (informations, données binaires, structurées ou non). Il est vrai que c'est là que toute bonne sécurité logique aurait dû commencer. Les données et leur manipulation au sens large sont la base de l'informatique (curieuse impression d'enfoncer des portes ouvertes, mais c'est l'été, on m'a demandé d'être simple). Il existe pas mal de type de données pour les futurs articles, j'en distinguerais 3 : données binaires (ou programmes informatique), données structurées (en général se trouvant dans les bases de données de l'entreprise), et le reste que j'appellerai données non structurées se trouvant un peu partout (et même à des endroits n'appartenant pas à l'entreprise : téléphone, clé,...). Pour bien commencer, chaque entreprise doit déterminer l'importance de chaque donnée en son sein, car une donnée ne nait pas libre et à l'égal des autres, c'est ce que l'on appelle la classification des données. Il est d'ailleurs bizarre que les outils du marché devenant chaque jour un peu plus complexes (DLP, IRM), font bien souvent l'impasse sur cette première étape pourtant obligatoire, ainsi que la seconde la gestion d'accès à ces chères données.

Voici le décor planté, nous allons essayer de clarifier les choses (malheureusement pas toutes, les boss du premier et du deuxième niveau ne sont pas encore éliminés) pendant cette phase estivale.
Nicolas Jacquey
Philippe Maltere

_