Salon Infosecurity 2007 : Focus sur la sécurisation des contenus

Traçabilité, détection des fuites, protection, contrôle… la sécurisation des informations confidentielles se fait de plus en plus présente dans les salons dédiés à la sécurité, comme le dernier Infosecurity, qui s’est tenu au Cnit les 21 et 22 Novembre. Parmi les acteurs spécialisés, on a pu noter les offres distribuées par HERMITAGE SOLUTIONS, petite société lyonnaise qui a déjà 11 ans d’existence. Hermitage présentait, entre autres, trois solutions innovantes de type EDP (Enterprise Data Protection) :

– PGP Messenger : cette solution de type « secure delivery » permet d’envoyer des fichiers de format PDF chiffrés, ouvrable via un lecteur de PDF standard tel qu’Acrobate Reader d’Adobe. Grâce à cette solution, le destinataire n’a pas besoin de logiciel spécifique de déchiffrage, car il pourra utiliser la fonctionnalité standard d’Acrobat Reader, «Ouverture d’un document protégé». Le mot de passe, quant à lui, aura été transmis par l’auteur séparément, via un média différent (SMS par exemple).

– VONTU DLP, déjà adopté par de grandes sociétés comme Caterpillar ou Bank of America : cette solution de prévention contre les fuites de données repose sur un suivi de l’utilisation du document (traçabilité) à travers les différents types de communication et protocoles.

ORACLE IRM (Information Rights Management, ou Gestion des droits numériques): cette fonctionnalité fait partie intégrante de l’offre Oracle, mais sa distribution et son support sont assurés par la PME lyonnaise [sans exclusivité, puisque d’autres partenaires les assurent également]. Elle repose sur la notion de contexte : un contexte est un ensemble de documents appartenant au même domaine (projet, groupe d’utilisateurs, service,…selon un découpage propre à l’entreprise). Chaque contexte définit des rôles auxquels sont associés des droits. L’utilisateur doit « sceller » dans le bon contexte le document qu’il crée, pour s’assurer que seules les personnes concernées pourront l’utiliser.

L’accès pourra se faire à partir d’un environnement de travail (Windows, Blackberry, Lotus Notes, Groupwise,…) où un logiciel client aura été installé. Les droits accordés aux utilisateurs sont quat à eux centralisés dans le serveur de licences de l’entreprise, donc révocables à tout moment. On imagine aisément que le nombre de contextes devra être maîtrisé pour éviter leur prolifération, car sinon cette gestion pourrait devenir elle-même génératrice de documents pléthoriques… eux-mêmes à sécuriser.