Architecture de sécurité


La sécurité, une expérience mal vécue

L'informatique est faite de transitions. Il y a encore quelques années, la sécurité des Systèmes d'Information faisait bien souvent figure d'oubliée dans les dossiers d'architecture applicative. Cantonnée aux couches basses (réseau physique, anti-virus etc.), elle apparaissait en fin de cahier des charges, MOA et MOE ne sachant quelles caractéristiques formaliser dans les documents de spécification. Les risques apparus avec les nouvelles technologies et l'ouverture des SI, la baisse des coûts imposée par les hiérarchies depuis l'éclatement de la bulle internet et désormais l'exigence de conformité aux contraintes réglementaires (SOX, Bâle II…) ont changé le niveau de priorité associé à la sécurité.

Pourtant, pour bon nombre d'organisations, le sujet reste vague et non maîtrisé. « Il faut blinder la sécurité » entend t-on dans les comités de pilotage, un flou le plus souvent motivé par le désir d'être en conformité avec la charte informatique du RSSI.

Le plus souvent, la réponse à une expression de besoins aussi vague est trouvée dans une approche sécuritaire, où tout ce qui n'est pas explicitement autorisé est interdit. Il n'en faut pas moins pour rendre la sécurité antipathique aux yeux des utilisateurs et des concepteurs d'application.

Du développement à la production, la sécurité est vécue comme une contrainte, un frein à l'innovation venant un peu plus retarder les délais de mise en oeuvre.

 

Les réponses OCTO : "Right-Sizer" la sécurité et fournir des solutions

OCTO renverse le paradigme du tout sécuritaire et aide les organisations à positionner le curseur de la sécurité dans leurs contextes métier.
La démarche de l'architecte procède d'abord par une analyse des risques itérative: le bon niveau de sécurité est celui où l'on protège a priori ce qui a réellement de la valeur et où l'on est réactif a posteriori sur les abus décelés. En s'appuyant sur une métholodogie d'analyse par patterns, OCTO conçoit ou rationalise des architectures de sécurité pour les applications et l'infrastructure.

 

Au cours des dernières années les architectes OCTO ont développé une très forte expertise dans le domaine de la gestion des identités et des accès:

  • Référentiels et annuaires d'identité
  • Provisioning des ressources informatiques et physiques
  • Authentification nivelée (du mot de passe à la biométrie!), centralisée (Single Sign-On) ou fédérée (Liberty Alliance, ADFS...)
  • Habilitations et contrôle d'accès
  • Sécurité des échanges
  • Analyse des traces et imputabilité des actions

 

Cette expertise est mise au service des organisations dans des projets d'analyse de risques, d'audit, de conception, prototypage et industrialisation d'architectures de sécurité. OCTO accompagne également ses clients dans la réalisation des infrastructures et des applications.
L'architecte de sécurité OCTO est fournisseur de solutions et garant des plans d'architecture proposés.

 
© 2008 OCTO Technology