Les perturbations constituent la « nouvelle normalité » pour les entreprises du monde entier, qu’il s’agisse de pandémies, de renégociations commerciales, de guerres physiques ou de cyberguerres. Pour 57 % des administrateurs, la polarisation économique et politique de la société représente aujourd’hui la plus grande source de risque, et a une incidence directe sur les projets inscrits à l’ordre du jour des DSI et des RSSI.
Les DSI sont chargés de compléter, de modifier ou de renforcer les flux logistiques, les chaînes d’approvisionnement, les modèles commerciaux et de prestation de services, les partenariats ou encore les empreintes géographiques. Dans chacun de ces programmes, la cybersécurité peut être considérée comme un obstacle. Pourtant, la sécurité doit être envisagée comme un moyen de favoriser la flexibilité de l’entreprise et donne aux chefs d’entreprise le mandat et la plateforme nécessaires pour innover.
La sécurité se résume traditionnellement à des décisions d’accès binaires - autoriser ou bloquer. Elle s’est ainsi imposée comme un garde-fou qui a le pouvoir d’approuver ou de restreindre les plans et les programmes. C’est l’une des raisons pour lesquelles les professionnels de la sécurité n’entretiennent pas toujours les meilleures relations avec les autres collaborateurs, et ce malgré des objectifs communs.
Une sécurité plus intelligente
Jusqu’à il y a peu, les progrès en matière de sécurité se sont concentrés sur le renforcement de la capacité à prendre ces décisions binaires. Ainsi, inévitablement, la sécurité a conservé sa réputation d’obstacle à l’innovation, dans la mesure où elle ne permet pas autant qu’elle n’interdit. La tendance est toutefois en train de changer. La sécurité évolue enfin et devient plus « intelligente », en étant capable de percevoir les nuances et le contexte, sur lesquels elle peut s’appuyer pour gagner en souplesse et en flexibilité. Le souci de l’efficacité opérationnelle n’a pas disparu. Des gains considérables ont en effet également été réalisés dans ce domaine.
Les perturbations inévitables et importantes que les entreprises ont connues depuis 2019 ont néanmoins finalement poussé les équipes de sécurité à faire de l’habilitation un objectif primordial. Elles ont ainsi favorisé le déplacement des effectifs à une échelle sans précédent et quasiment sans préavis. De plus, elles ont contribué à transformer rapidement et de manière décisive les opérations de la chaîne d’approvisionnement afin d’assurer la continuité des activités, sans compter sur la refonte complète des stratégies de mise sur le marché d’organisations dont la clientèle avait disparu du jour au lendemain. Les équipes de sécurité se sont mobilisées, aux côtés de leurs pairs, pour se poser en héros de l’action positive.
Qu’est-ce qui a changé ? Les RSSI et leurs équipes ont-ils cessé de dire non sur un coup de tête parce que les risques étaient moins importants ? C’est tout le contraire.
Les menaces croissantes dans le cloud
Dans son rapport d’activité pour 2021, la CNIL a fait état de 2 150 notifications de violation de données personnelles, dans le cadre de cyberattaques avec ransomware, la première cause de violation en France. Cependant, le nombre d’attaques ne représente qu’une partie du tableau, car les cybercriminels ont renouvelé leur mode opératoire en exploitant de nouvelles surfaces d’attaque dans le cloud. À l’instar de la migration généralisée des entreprises légitimes du monde entier vers le cloud, les cybercriminels suivent le même chemin. Ils ont déplacé leur propre infrastructure - et le ciblage de leurs attaques - vers le cloud.
Le cloud impose en effet un remaniement complet de la manière dont est conçue la protection de l’organisation. Selon le concept traditionnel d’une architecture de sécurité, les équipes mettent en place des périmètres de sécurité autour des actifs de l’entreprise et contrôlent le trafic entrant et sortant de cette zone sécurisée. De nombreuses organisations fondent toujours leur stratégie sur cette idéologie et continuent d’investir dans des équipements matériels qu’elles installent dans des centres de données qui n’accueillent plus directement des utilisateurs, des applications ou des données. Mais à l’ère du cloud, il apparaît de plus en plus clairement que cette approche n’est pas adaptée au contexte.
Repenser l’architecture de sécurité
En 2019, Gartner a recommandé une nouvelle approche des architectures de sécurité reposant sur le Secure Access Service Edge (SASE), un concept basé sur le cloud qui repose en grande partie sur le Security Service Edge (SSE), l’ensemble fondamental des services de sécurité dans le SASE. Aussi, il est important pour les entreprises de comprendre en quoi cette transformation de la sécurité consiste et de quelle manière elle contribue à la réalisation des objectifs du DSI.
Lorsque la sécurité est basée sur le cloud et axée sur les données, l’utilisateur et l’emplacement des données ne sont plus des facteurs limitatifs. Ils peuvent être sécurisés, quel que soit l’endroit où ils se trouvent ou leur dispositif d’accès. De plus, grâce à une excellente maîtrise contextuelle des types de données et de leur utilisation, les politiques peuvent être conçues avec une granularité bien supérieure à celle d’une simple autorisation ou d’un simple blocage. Ainsi, les équipes chargées de la sécurité peuvent en faire plus sans prendre de risques excessifs.
En sécurisant les données, plutôt que l’application, la visibilité (et la politique) de sécurité ne couvre pas seulement les applications approuvées. Les unités commerciales peuvent innover et réaliser des gains de productivité sans avoir à passer par des autorisations de sécurité fastidieuses, lesquelles prennent parfois des mois avant de permettre l’utilisation d’une application. En outre, au lieu de nécessiter un investissement accru en période d’incertitude économique, la transformation de la sécurité réduit de manière significative les frais généraux. Les entreprises indiquent réaliser des économies de plusieurs millions d’euros grâce à la consolidation des fournisseurs et à l’intégration de la gestion des technologies, ainsi qu’à une réduction significative des frais généraux liés aux réseaux. La sécurité est en effet appliquée en ligne et il n’est plus nécessaire de tout acheminer vers les appareils du centre de données.
Les entreprises sont aujourd’hui aux prises avec des défis qu’elles n’avaient pas connus depuis cent ans, c’est-à-dire avant la révolution technologique. Les DSI prennent les devants et exploitent la transformation digitale pour répondre aux demandes des organisations en matière d’innovation, qu’il s’agisse de la prestation de services, des RH ou de tout ce qui se trouve entre les deux. Cependant, les possibilités offertes par le digital s’accompagnent toujours de menaces et de risques connexes, et le RSSI joue aujourd’hui un rôle essentiel en tant que partenaire commercial. Le parc IT s’est transformé au point de devenir presque méconnaissable par rapport à l’infrastructure qui existait il y a 10 ou 20 ans, et la sécurité est en passe de connaître le même bouleversement. En choisissant la bonne architecture de sécurité, les entreprises mettent toutes les chances de réussite de leur côté.
Par Ilona Simpson et Neil Thacker, respectivement DSI et RSSI chez Netskope EMEA.