Les RSSI et les responsables de la sécurité peuvent faire une différence stratégique lors des initiatives de transformation numérique. Intégrée en avance de phase dans le processus, la sécurité doit rester la préoccupation induite tout au long du processus.
Les voies de la transformation numérique peuvent être longues et tortueuses, car elles obligent à naviguer à travers des technologies et des concepts disruptifs, différentes méthodologies et processus d’organisation du travail, l’automatisation et bien d’autres écueils qui peuvent faire échouer la transformation. Mais pour réussir la transformation numérique, tous ces domaines exigent que la sécurité soit intégrée dès le départ et doit rester la préoccupation induite tout au long du processus.
« Lorsque la sécurité est intégrée après coup, les projets risquent des lacunes, des retards et des dépassements de coûts en matière de sécurité », affirme CyberArk dans un livre blanc intitulé Trois stratégies RSSI pour une transformation numérique réussie. Contrairement à beaucoup d’études qui mettent l’accent sur les méthodologies et les technologies disruptives, celle-ci s’intéresse exclusivement au rôle du RSSI pour assurer la sécurité du SI tout au long de la période de transformation numérique, jusqu’au résultat final.
La cybersécurité n’est pas un service comme les autres
Pour parvenir à intégrer une cybersécurité proactive dans les processus de l’entreprise, la fameuse sécurité dès la conception, il s’avère important de prêter attention à deux écueils. Le premier consiste à veiller à intégrer le RSSI et les équipes chargées de la cybersécurité dès la conception du projet. Ces équipes doivent avoir un rôle proactif stratégique, par opposition à la simple gestion des technologies et des systèmes.
Le second écueil est un grand classique dans la conduite du changement : souvent les objectifs divergent au sein des équipes de transformation numérique, principalement entre les équipes métier et la sécurité. En effet, bien souvent les objectifs métier et ceux de la cybersécurité peuvent diverger aussi bien sur les objectifs que sur les méthodologies. La sécurité est souvent coincée entre le marteau de la réduction des coûts de la direction et l’enclume d’une productivité améliorée pour les métiers.
Trois conseils pour réussir une transformation sécuritaire
Les RSSI doivent surmonter la perception que leur rôle est simplement de « gérer les outils et la technologie de sécurité » (cité par 60 % des répondants). Seulement 7 % des répondants au sondage affirment que ces responsables en matière de sécurité sont des conseillers qui aident à orienter la stratégie numérique. Pour réussir l’intégration de la sécurité dans la transformation, le livre blanc de CyberArk distille trois conseils, que voici :
3Enchâsser la sécurité dans la transformation
Dans un récent rapport d’IDC, les analystes suggèrent que l’atténuation des risques dans les projets de transformation numérique est l’occasion idéale pour les RSSI de « jouer un rôle dans l’orientation stratégique de l’entreprise ». Lorsqu’ils sont interrogés sur le rôle du RSSI pour ajouter de la valeur aux efforts de transformation, la première réponse est la suivante : « intégrer la gestion des risques liés à la protection de la vie privée et à la cybersécurité dans toutes les initiatives numériques ».
2Se rapprocher des partenaires dans l’entreprise
Que ce soit les métiers ou l’opérationnel, les besoins et les exigences peuvent diverger au sein d’une même entreprise. Dans ce contexte, établir le dialogue est à la base d’une collaboration qui avance en prenant en compte les besoins de chacun. « Les RSSI ont une occasion unique de démontrer leur capacité d’agir comme conseillers stratégiques et d’envisager la situation dans son ensemble », estime le livre blanc. Cela signifie se rapprocher des parties prenantes de l’entreprise afin de comprendre leurs besoins et leurs défis, puis « penser d’abord comme un homme d’affaires (et ensuite comme un agent de sécurité) ».
Outre l’accélération du processus, il y a d’autres avantages à ce que les responsables de la sécurité participent plus tôt aux projets de transformation. Les répondants ont cité :
- l’amélioration de la qualité des résultats,
- le fait d’éviter d’être pris au dépourvu par les exigences et les risques plus tard dans le processus,
- une meilleure appréciation collective du rôle de la sécurité,
- une confiance accrue dans la sécurité.
1Il n’est jamais trop tôt pour intégrer la sécurité
Actuellement, seulement 38 % des RSSI sont impliqués dès le début de la phase de conception de la transformation, selon l’enquête IDC. Pourtant, 44 % des répondants affirment que les projets iraient plus vite avec la participation des responsables de la sécurité dès le départ. Comme l’a expliqué un participant à l’enquête : « les projets iraient plus vite parce que le temps nécessaire à la mise en œuvre des mesures de sécurité est considérablement réduit ».
Sources : CyberArk