Le temps des logiciels installés exclusivement sur des infrastructures informatiques fonctionnant en vase clos est révolu depuis bien longtemps. Au cours de ces dernières années, l’informatique s’est en effet de plus en plus délocalisée, accompagnant en cela une évolution du travail vers une mobilité accrue des travailleurs. «Les systèmes informatiques sont aujourd’hui souvent délocalisés dans des clouds, ce qui permet de garantir l’accès des travailleurs à leurs apps, où qu’ils soient», explique Charly Rohart, CEO de RCDevs, société de sécurité informatique spécialisée dans l’authentification multifacteur. «Mais les applications ont elles aussi changé de nature, puisqu’elles sont aujourd’hui, pour la plupart, destinées à des supports mobiles qui peuvent varier. Il n’y a plus un hardware attaché à un logiciel particulier. Cela signifie que des protocoles d’accès sont nécessaires pour pouvoir utiliser une application depuis un appareil distant, et cela pose des problèmes de sécurisation.»
De manière schématique, on peut dire que le périmètre de la société, qui était autrefois bien localisé, au siège de l’entreprise, est aujourd’hui beaucoup plus éclaté. «Désormais, ce sont les collaborateurs ou les données exploitées par la société qui constituent le périmètre de l’entreprise, poursuit Charly Rohart. Or, en ouvrant ainsi ce périmètre, on augmente aussi le nombre de portes d’entrée pour des attaques éventuelles. Et le premier de ces accès, c’est l’identification.»
La sécurisation de l’authentification des personnes qui accèdent à l’information constitue donc une véritable priorité pour toutes les entreprises aujourd’hui.
La sécurisation de l’authentification des personnes qui accèdent à l’information constitue donc une véritable priorité pour toutes les entreprises aujourd’hui, et plus encore lorsqu’elles traitent des données sensibles. De nombreux outils existent pour y parvenir, sans pour autant débourser des sommes astronomiques. «Un système d’authentification fort repose sur un nombre important de facteurs, qui peuvent être notamment biométriques. Mais d’autres éléments doivent également être pris en compte pour garantir la sécurité d’un système, comme la gestion sécurisée des transactions, des autorisations ou des accès aux comptes privilégiés. C’est ce que nous nous attachons à développer chez RCDevs», détaille Charly Rohart.
Le rôle de la réglementation
L’arrivée de nouvelles réglementations européennes comme GDPR, sur la protection des données des personnes, ou PSD2, sur l’ouverture des données bancaires à des acteurs tiers, a également rendu la sécurisation de l’accès à l’information plus nécessaire que jamais. «En ce qui nous concerne, la réglementation PSD2 nous a fait prendre conscience de l’opportunité de développer des solutions de signature électronique réellement sûres», ajoute le CEO de RCDevs. «Nous avons donc mis au point un outil dans lequel la signature électronique, pour être validée, doit répondre à une série de facteurs, notamment une identification biométrique. Cela dit, ce n’est pas la biométrie qui constitue le dispositif de sécurité, il s’agit seulement d’un des éléments pris en compte, comme le serait un nom d’utilisateur pour se connecter à un système.»
Placer sa sécurité dans le cloud
La dématérialisation ou délocalisation des systèmes fait que, aujourd’hui, de nombreux systèmes de sécurité fonctionnent eux aussi à partir de clouds publics. Est-ce bien prudent? «Il est clair que cela a des avantages, notamment en termes de facilité d’installation et d’économie sur les coûts. Toutefois, cette externalisation pose également problème, notamment parce qu’elle met l’organisation à la merci d’une indisponibilité du système, une coupure du réseau par exemple, et qu’elle lui fait perdre tout contrôle», expose Charly Rohart. «Je dirais que le cloud public convient plus aux sociétés de taille réduite. D’ailleurs, la plupart des grosses sociétés pour lesquelles nous travaillons demandent à utiliser un cloud privé.»
Une solution de sécurisation dans le cloud public est très problématique à mettre en œuvre.
Cette solution permet en effet de garder la main sur ses outils de sécurisation, tout en permettant de les faire évoluer facilement. Malgré le coût plus élevé qu’elle représente, elle n’en reste pas moins séduisante pour les structures de grande taille. «C’est particulièrement le cas des entreprises soumises à de nombreuses réglementations», précise Charly Rohart. «Pour elles, une solution de sécurisation dans le cloud public est très problématique à mettre en œuvre.» Le on-premise permet en outre une plus grande personnalisation. «Face à la grande complexité de tous ces systèmes informatiques, nos clients apprécient que nous leur proposions une seule solution qui réponde à toutes leurs problématiques et seul le cloud privé permet cette souplesse», conclut Charly Rohart.