Sécurité des Systèmes d’Information, du Principe d’Exclusion à la Gestion d’Identité

par Sofiane-Maxime Khadir, Manager PricewaterhouseCoopers

La sécurité des systèmes d’information a longtemps été centrée sur le principe dit « d’exclusion », dont l’objectif principal est la prévention des accès non autorisés aux ressources internes du système d’information de l’entreprise.

Ce principe a été mis en œuvre par de nombreuses organisations et il consiste essentiellement en la mise en œuvre de périmètres d’exclusion, frontières virtuelles du système d’information entre le domaine de confiance (le réseau interne de l’entreprise) et le monde extérieur. Cette approche, adaptée aux environnements informatiques centralisés et cloisonnés des années 1980, ne permet plus à elle seule de traiter de manière pertinente la sécurité des environnements informatiques actuels, plus « ouverts » (nécessité de permettre l’accès à de multiples applications du système d’information à de nombreux acteurs - clients, employés, prestataires, fournisseur, ...). Ce nouveau défi, par opposition à la logique « d’exclusion », nous la qualifions de logique « d’inclusion ». Cet article vous présente cette mutation en profondeur ainsi que ses implications.