C'est une idée qui émerge chez certains DSI et RSSI : puisqu'à trop contrôler la sécurité informatique devient une entrave, prenons des risques et concentrons nous sur la donnée stratégique et l'innovation.
Les entreprises abordent la sécurité informatique avec une approche ancienne, considérant la cyber-sécurité comme étant un problème qui doit être résolu par l'informatique, alors que c'est une problématique de l'entreprise, qui nécessite de se concentrer sur la sécurisation des données stratégiques et sur le renforcement de l'innovation.
Cette idée est portée par un ouvrage collectif, « Beyond Cybersecurity: Protecting Your Digital Business », qui fait parler de lui de l'autre coté de l'Atlantique. Il est co-signé James Kaplan, associé et co-directeur des Infrastructures IT et pratiques en matière de cybersécurité, Tucker Bailey, directeur, et Chris Rezek, expert consultant senior, tous trois chez McKinsey & Company, ainsi que Alan Marcus et Derek O'Halloran, DSI au Forum économique mondial.
Qui trop étreint….
Pour poser la problématique, les auteurs constatent que la DSI s'efforce de trop protéger, voire de tout protéger. Cela n'est ni réaliste, ni faisable. Surtout, comme nous l'avons constaté aux Assises de la Sécurité, que la question que se posent les responsables de la sécurité en entreprise n'est pas de savoir si leur organisation sera attaquée, mais quand !
Dans ces conditions, les auteurs proposent une approche différente. La stratégie business des entreprises implique souvent une prise de risque, financière (investissements), technique (produits), commerciale. Pourquoi ne pas adopter une approche équivalente sur la sécurité, c'est à dire rendre les risques technologiques acceptables, à la condition qu'ils apportent de la valeur d'entreprise ?
S'adapter aux nouveaux modèles business
La création de nouveaux services en ligne en est un exemple. Certes, ces services embarquent de nouveaux modèles de transactions qui peuvent être compromis. Mais dans le même temps ils apportent de la valeur en termes de revenus, d'expérience client et d'efficacité dans les interactions.
En se protégeant massivement contre les cyber-risques qui accompagnent la transformation digitale, l'entreprise adoptent des stratégies qui s'imposent sur les technologies, qui en limitent les effets, avec plus de contrôle sur les environnements et une gouvernance toujours plus lourde. Avec, lorsqu'elles sont poussées à l'extrême, la réduction de la capacité de l'entreprise à innover et à créer de la valeur.
La réponse est dans la conception d'une architecture technologique plus sûre dès l'origine, qui adopte une vision plus globale, au-delà de la seule informatique, avec la volonté de changer les processus si cela s'impose. En particulier, en repérant les actifs à risque, les plus critiques, afin de se concentrer sur ce qui est le plus important.
Conseils d'experts
Les auteurs proposent quelques conseils pour mieux hiérarchiser les investissement de sécurité, avec pour objectif de permettre à l'entreprise de prendre intelligemment des risques avec moins d'impact sur les frais généraux et sur l'innovation que les modèles traditionnels de sécurité.
- Prioriser les actifs d'information et les risques commerciaux
- Renforcer la sécurité dans les processus commerciaux et opérationnels
- Créer un plan de changement flexible
- Élaborer des politiques de sécurité autour des fonctions de l'entreprise
- Le design technologique des architectures et des applications doit intégrer intrinsèquement la sécurisé
- Mettre en place en priorité des solutions pour les actifs d'information les plus importants
- Développer des analyses de données pour fournir des défenses de sécurité en temps réel
Image d'entête iStock @ id-work
