La gestion des identités et des accès aux systèmes d’information deviennent une préoccupation majeure des responsables sûreté de l’information (RSSI) et des directeurs sûreté/sécurité dans un contexte de développement considérable des nouvelles menaces : piratage informatique, cybercriminalité, fraude, vols d’identité…
Le sujet est d’autant plus préoccupant que la réalité de l’entreprise étendue s’impose aujourd’hui de manière inéluctable, ce qui rend flou et incertain les limites de l’espace réservé aux informations de l’entreprise, sous toutes ses formes, depuis les plus sensibles comme la propriété intellectuelle ou bien même les plus banales comme la visibilité sur les connexions aux portails publics. De même devient floue la connaissance des personnes amenées à rentrer dans cet espace réservé. Or La responsabilité de l’entreprise s’étend à tous ses contributeurs, y compris les plus éloignés et les moins connus.
Face à cette situation, on constate aujourd’hui l’apparition sur la scène internationale de standards de sécurité avec notamment la réglementation Homeland Security PD12, initiée outre Atlantique à la suite des attentats du 11 septembre. Ces standards tentent de donner une base de confiance commune aux modalités d’échanges d’information dans des espaces collaboratifs dédiés. La notion de tiers de confiance dans le monde de l’entreprise fait à cet égard une percée significative qui risque de poser un problème de compétitivité à ceux qui les ignorent.
C’est toute la chaîne de la sûreté réelle de l’entreprise qui est effectivement examinée à la loupe. Il est clair aujourd’hui que les procédures mises en place par les ressources humaines et les services achat ne permettent pas d’avoir une garantie de l’identité de la personne recrutée ou du prestataire engagé. Dans cette perspective, un certain nombre de questions se posent : peut-on affirmer que lors de la connexion aux systèmes d’information l’identité utilisée est bien unique ? Une même personne ne dispose-t-elle pas de plusieurs accès aux informations ? Qui gère les cycles de vie de toutes ces identités ? Et enfin, comment se mettre d’accord pour que les procédés utilisés pour répondre à ces questions fondamentales soient acceptés
par tous les utilisateurs?
Des débats et des travaux s’engagent des deux côtés de l’Atlantique sur ces questions. Ils méritent que les acteurs de la sûreté industrielle français et européens définissent une approche commune de ces questions. Si tel n’était pas le cas, les entreprises et les institutions en général ne pourront plus collaborer en toute confiance sur la scène internationale.
