« Ne soyez pas conservateurs ! » lance en substance Art Coviello, le président de RSA, aux professionnels de la sécurité venus l’écouter à Londres. Son message est simple : depuis 2000 et l’éclatement de la bulle IT, le paysage des technologies et des usages s’est métamorphosé : 75% des travailleurs américains seront mobiles l’an prochain, Facebook compte 300 millions d’utilisateurs qui ne font plus franchement la différence entre vie privée et vie professionnelle, le Cloud Computing captera 25% de la croissance des budgets IT l’an prochain, la virtualisation est partout et 90% de l’information créée aujourd’hui l’est sous forme numérique ou sera numérisée sous trois mois : « la difficulté n’est plus de créer l’information vitale, mais plutôt de gérer l’information existante de manière sécurisée », résume-t-il (et on ne peut s’empêcher de voir ici toute l’influence de la maison mère EMC).

Face à cette pluie de statistiques, Art Coviello met en garde les professionnels de la IT, dont il estime qu’ils n’ont pas assez pris en compte ces évolutions. « Vous n’avez pourtant que trois options », leur dit-il : 1/ freiner des quatre fers (« comme vous avez tenté d’endiguer l’arrivée du Blackberry en 2000 », rappelle-t-il de manière un peu fourbe), 2/ faire l’autruche et finir au placard ou 3/ suivre le mouvement et en tirer profit.

Aux architectes et professionnels de la IT, Art Coviello conseille donc de faire preuve de volontarisme dans leur approche de ces nouvelles pratiques IT : il cite en modèle ces entreprises qui adoptent la « consumerisation IT » et déploient par exemple leur propre Cloud interne, offrent leurs propres applications à la manière d’Amazon ou profitent au mieux du modèle Software as a Service.

Mais Coviello n’est pas venu sans critiques à destination du marché. Il est monté sur scène avec dans sa besace sept points-clés qui définissent selon-lui ce que la sécurité doit changer pour continuer à jouer son rôle.

Sept points, mais si l’on doit ne retenir qu’une idée forte de l’ensemble, ce sera la corrélation. Car pour Art Coviello, la sécurité doit se placer au confluent de toute l’activité de l’entreprise. « La sécurité doit être un éco-système et non un produit unique. Elle doit savoir corréler en temps réel un flot d’information en provenance de tous les horizons de l’entreprise », explique le président de RSA.

Ceci implique bien entendu que la sécurité doit être intégrée, et non « ajoutée », aux technologies. « Quel est l’intérêt d’ajouter une appliance de DLP quant on peux mettre le DLP directement dans le commutateur ? Et la sécurité intégrée directement à l’hyperviseur n’est-elle pas plus efficace que celle déployée individuellement sur chaque machine virtuelle ? », assène Art Coviello. Il fait certes au passage un peu de promotion pour les accords passés entre RSA et Cisco (le DLP dans les routeurs) et VMware (l’initiative VMsafe), mais l’idée est là : la sécurité doit occuper une position stratégique – au sens militaire du terme – dans les infrastructures.

Une position stratégique offre bien souvent une excellente visibilité. Mais tout voir ne sert à rien si l’on est incapable d’interpréter ce que l’on observe. Art Coviello prêche alors aussi pour une sécurité contextuelle, capable de comprendre le contenu et l’identité afin de prendre les bonnes décisions. Et cela implique là aussi une bonne dose de corrélation. « Un accès à un document via Sharepoint est un événement bénin. Mais s’il s’agit d’une connexion à distance, sans authentification forte préalable, que les données demandées sont classées confidentielles et ne sont pas chiffrées, la sécurité doit être en mesure de donner l’alerte », illustre-t-il.

Pour résumer sa vision, Art Coviello conclu en indiquant que la sécurité doit être basée sur la connaissance (le contenu) et le comportement (l’identité), en plus d’être dynamique (basée sur les risques) plutôt que statique (réactive, voir à ce sujet notre article « Une sécurité pilotée par le risque« ).

Et puisque tout cela fait beaucoup de grands mots dans une même phrase, Chris Young, Senior Vice President de RSA, venu rejoindre Art Coviello sur scène, aura le mot de la fin : « Le périmètre n’a jamais disparu, il a juste pris une autre tête ».

Une tête multiple, partiellement dans les nuages, avec des yeux partout et un gros cerveau : le visage de la sécurité 2.0 ?