L’e-business bouleverse la donne de la sécurité. Désormais accessible depuis n’importe quel point du globe, l’entreprise doit offrir en toute confiance un accès en ligne à la multitude de ses interlocuteurs. Son activité s’étend dorénavant 24 heures sur 24 et 7 jours sur 7, tandis que l’e-commerce ouvre grand les portes à des inconnus. L’entreprise ne peut plus faire l’impasse sur des éléments fondamentaux de la sécurité. Or, les technologies de l’e-commerce sont naissantes. L’urgence va au développement des applications de production, tandis que les outils de contrôle suivent avec une longueur de retard.
Une réelle politique de sécurité
Confrontée à des dangers biens réels, l’entreprise peut s’en prémunir en mettant en place une architecture de sécurité, composée des différentes briques ou services disponibles sur le marché, sans toutefois perdre de vue que la sécurité est plus qu’une simple architecture technique : c’est un processus. “Les entreprises vont comprendre qu’elles ont besoin de plus que d’un coupe-feu, d’une DMZ et de VPN. En sécurité, il n’y pas de solution technologique de bout en bout !”, s’exclame Tom Scholtz, consultant au Meta Group.Car la sécurité est aussi une philosophie associée à des programmes de sensibilisation des populations concernées (direction générale, ressources humaines, direction informatique et employés) ainsi qu’une organisation dotée de moyens de contrôle. “Les entreprises ont besoin de différents niveaux d’accès et d’autorisation ainsi que d’une politique de sécurité détaillée “, ajoute Tom Scholtz. Le GigaGroup, pour sa part, baptise l’ensemble les quatre ” A ” : authentification, autorisation, administration et audit. Sans une solide authentification, les contrôles d’accès ne sont pas fiables. L’audit des traces enregistrées n’aurait pas plus de signification. Sans audit, rien ne permet de vérifier la politique de sécurité de l’entreprise. Dès l’ouverture d’un Extranet, on doit donc s’assurer de l’identification des utilisateurs, de la gestion de leurs droits sur le système et on doit avoir une idée de ce qu’ils ont fait. “Les responsables de la sécurité vont devoir inclure l’administration des utilisateurs. Une politique de sécurité définira, par exemple, le type de personne qui aura accès à la paye “, explique Tom Scholtz.Cependant, “l’administration fine des droits des utilisateurs sur les applications est difficile en environnement hétérogène, Unix, NT et mainframe, souligne le responsable sécurité d’une compagnie d’assurances. En outre, les administrateurs systèmes ne doivent pas avoir accès aux comptes clients, mais seulement aux enregistrements physiques.” Des produits de SSO (Single sign-on) se bousculent pour réaliser ces fonctions. On dénombre une trentaine d’offres, dont PassGo, de Mynet ; Unicenter, de Computer Associates ; Access Master, d’Evidian ; EAC, de Blockade, Assure Access, d’Entegrity ; ClearTrust, de Securant, ainsi que les solutions d’IBM ; d’Unisys ; et de HP.L’arrivée du Web SSO relance ce marché, qui a du mal à décoller. Par ailleurs, la sécurité implique une somme d’actions parfaitement identifiées comme l’authentification, le contrôle des accès, l’intégrité, la confidentialité, la non-répudiation, ou encore, la disponibilité. Les architectures sécurisées ont leurs classiques, dans lesquelles une DMZ est un préalable. Une solution de remplacement consiste à utiliser des coupe-feu dotés de plusieurs accès réseaux. Chaque ” patte ” du coupe-feu isole ainsi des zones aux politiques de sécurité distinctes. Afin de sécuriser l’ensemble, un équipement baptisé proxy firewall inspectera le trafic en provenance du serveur Web de façon plus approfondie.Un commutateur de niveau 7 agirait de la même façon. Un ” trou d’air ” peut aussi être créé. Whale Communications, par exemple, propose de relier deux serveurs en SCSI. Seul un jeu réduit de commandes passe d’un serveur à un autre, éliminant tout besoin de DMZ. Cette rupture protocolaire est également réalisable en effectuant une traduction d’IP vers Frame Relay, par exemple.Parmi les diverses briques techniques, certaines sont promises à des usages plus ou moins intensifs. Les antivirus vont continuer leur pénétration dans les grandes et dans les petites entreprises.Viennent ensuite les coupe-feu. Ils représentent, selon IDC, un tiers du marché français des produits de sécurité, et le deuxième plus grand segment à l’horizon 2002. En troisième position viennent les VPN-IP. Sur ce marché, selon le cabinet Infonetics, le tandem Check Point Software-Nokia arrive en tête devant Cisco Systems et Nortel Networks. Les VPN-IP connaîtront, d’après IDC, la plus forte croissance d’ici à 2002, parallèlement aux solutions d’authentification forte. En revanche, les logiciels serveurs de cache proxy, très bon marché, ne pèseront pas lourd. Autre famille d’outils appelée à se développer fortement : celles des outils de surveillance, adaptés aux entreprises disposant d’infrastructures hétérogènes.
L’externalisation tire le marché
Du côté de l’externalisation, IDC prédit une véritable explosion. Les difficultés croissantes des entreprises pour administrer leurs produits de sécurité, le développement des tiers de certification permettant aux entreprises d’utiliser une infrastructure PKI, sans avoir à investir dans leur propre solution, poussent dans cette direction. Selon le GartnerGroup, l’externalisation des coupe-feu et des systèmes de détection d’intrusions (ou IDS) constitue un axe majeur de réflexion pour les administrateurs de réseaux.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.