Le contrôle d'accès au réseau au service de la gouvernance

' Si les responsables sécurité ne s'intéressent pas aux problèmes de conformité, ce seront bientôt les directeurs financiers qui imposeront leurs règles. Mieux vaut s'en occuper dès aujourd'hui ', lançait en boutade Yves Leroux, ' stratège ' sécurité de Computer Associates, lors de sa conférence au cours des Assises de la sécurité de Monaco.

L'entreprise, à partir des objectifs et des contraintes réglementaires de son environnement juridique, se doit de définir une politique de sécurité. Dans ce cas, pourquoi ne pas commencer par utiliser les logiciels de gestion des accès au réseau. Les DSI et les RSSI devraient prendre en compte les contraintes logicielles liées à la conformité (Sarbanes-Oxley, Cobit ou ISO 27001). On serait tenté d'exploiter de nouveaux logiciels, dits de gestion ' intégrée ' du risque. ' Mais cet objectif n'est encore qu'en phase de développement chez CA, même si l'on dispose déjà de plusieurs briques de base ', précise Yves le Roux. Des boîtiers de filtrages d'échanges comme ceux d'Imperva visent aussi la conformité réglementaire, mais ne traitent qu'une facette des obligations.

Pour Jim Ebzery, vice-président de Novell chargé des solutions de gestion des identités et de la sécurité, l'approche ' conformité ' est une nécessité : ' Dans ce domaine, nous possédons d'une part nos offres de gestion des identités, notre gestionnaire d'accès, mais aussi Zenworks, notre outil d'inventaire, et surtout Sentinel (issu du rachat d'Esecurity ?" NDLR). ' Ce logiciel fournit des rapports sur chaque événement de sécurité et d'accès. Il surveille la conformité des actifs informatiques de l'entreprise avec les obligations réglementaires nationales, surtout Sarbanes-Oxley.

Interrogé également sur l'arrivée récente de Microsoft dans le domaine, avec son Identity Life Cycle Manager 2007, CA et Novell restent relativement réservés. Ils continueront de travailler avec Microsoft en exploitant l'annuaire Active Directory. La nouvelle offre de Microsoft rassemble deux outils, Identity Integration Server (afin de synchroniser les informations entre des annuaires et des bases de données hétérogènes), et Microsoft Certificate Life Cycle Manager (pour gérer le cycle de vie des certificats et des cartes à puce), un logiciel issu du rachat de la société Alacris. La proposition de l'éditeur reste encore éloignée de la portée fonctionnelle des outils des principaux acteurs du secteur. D'autant que ces derniers ne cessent dajouter des briques qui nourriront à terme un référentiel de gestion des contraintes réglementaires.