Salon Infosecurity 2007 : Focus sur la sécurisation des contenus
Si beaucoup d’acteurs spécialisés proposent des solutions pour la sécurisation des contenants (réseau, poste de travail…), moins nombreux sont ceux qui ont focalisé leur attention sur la sécurité du contenu (e-mails, documents..)
Traçabilité, détection des fuites, protection, contrôle… la sécurisation des informations confidentielles se fait de plus en plus présente dans les salons dédiés à la sécurité, comme le dernier Infosecurity, qui s’est tenu au Cnit les 21 et 22 Novembre. Parmi les acteurs spécialisés, on a pu noter les offres distribuées par HERMITAGE SOLUTIONS, petite société lyonnaise qui a déjà 11 ans d’existence. Hermitage présentait, entre autres, trois solutions innovantes de type EDP (Enterprise Data Protection) :
– PGP Messenger : cette solution de type « secure delivery » permet d’envoyer des fichiers de format PDF chiffrés, ouvrable via un lecteur de PDF standard tel qu’Acrobate Reader d’Adobe. Grâce à cette solution, le destinataire n’a pas besoin de logiciel spécifique de déchiffrage, car il pourra utiliser la fonctionnalité standard d’Acrobat Reader, «Ouverture d’un document protégé». Le mot de passe, quant à lui, aura été transmis par l’auteur séparément, via un média différent (SMS par exemple).
– VONTU DLP, déjà adopté par de grandes sociétés comme Caterpillar ou Bank of America : cette solution de prévention contre les fuites de données repose sur un suivi de l’utilisation du document (traçabilité) à travers les différents types de communication et protocoles.
– ORACLE IRM (Information Rights Management, ou Gestion des droits numériques): cette fonctionnalité fait partie intégrante de l’offre Oracle, mais sa distribution et son support sont assurés par la PME lyonnaise [sans exclusivité, puisque d’autres partenaires les assurent également]. Elle repose sur la notion de contexte : un contexte est un ensemble de documents appartenant au même domaine (projet, groupe d’utilisateurs, service,…selon un découpage propre à l’entreprise). Chaque contexte définit des rôles auxquels sont associés des droits. L’utilisateur doit « sceller » dans le bon contexte le document qu’il crée, pour s’assurer que seules les personnes concernées pourront l’utiliser.
L’accès pourra se faire à partir d’un environnement de travail (Windows, Blackberry, Lotus Notes, Groupwise,…) où un logiciel client aura été installé. Les droits accordés aux utilisateurs sont quat à eux centralisés dans le serveur de licences de l’entreprise, donc révocables à tout moment. On imagine aisément que le nombre de contextes devra être maîtrisé pour éviter leur prolifération, car sinon cette gestion pourrait devenir elle-même génératrice de documents pléthoriques… eux-mêmes à sécuriser.
