Dans tous les secteurs d'activité, les nouvelles technologies induisent des changements à un rythme sans précédent. Pour rester compétitives dans ce contexte versatile, les entreprises doivent, avant tout, miser sur la rapidité et l'agilité. C'est exactement ce que leur offrent les infrastructures et les services cloud.
Grâce aux économies d'échelle et à une tarification flexible basée sur l'usage, les services cloud permettent d'accéder à une technologie de pointe, évolutive à l’échelle mondiale, et sans l’investissement associé à une solution interne.
Pour exploiter pleinement le potentiel du cloud, certains changements fondamentaux sont néanmoins nécessaires dans le design, la fourniture et l'exploitation des services IT et OT. Mais aussi et avant tout, dans la culture et la structure organisationnelle de l'ensemble de l'entreprise utilisatrice.
La cybersécurité joue un rôle essentiel dans cette transition. Elle doit permettre à l'entreprise de saisir cette opportunité en veillant à ce que les ambitions qui motivent cette mutation ne mettent pas l'ensemble de l'entreprise en péril. Pour relever ce défi, les équipes de cybersécurité doivent effectuer leur propre transition vers le cloud. La tâche peut paraître ardue, mais il existe des facteurs clés essentiels qui facilitent la démarche.
Encourager la diversité
Le choix d’un environnement cloud varie souvent d'une équipe à l'autre, en fonction de leur familiarité avec des plateformes spécifiques ou de besoins et objectifs particuliers. Contraindre tout le monde à utiliser une seule option choisie de manière centralisée est certes simple à gérer. On est néanmoins en droit de s’interroger sur la pertinence d’un tel choix qui pèse sur la satisfaction des équipes, retarde le retour sur investissement et limite les avantages concurrentiels que l'entreprise cherche à s’octroyer avec le cloud.
76 % des entreprises font appel à au moins deux fournisseurs de cloud1. Les équipes chargées de la cybersécurité et des réseaux doivent donc relever le défi d’accompagner l'entreprise dans cette initiative. Il s’agit de fournir le niveau de protection et de connectivité requis pour sécuriser et intégrer un mix d'environnements cloud.
Normaliser
La normalisation est le seul moyen d'assurer une protection cohérente sur des plates-formes cloud disparates. En dissociant sécurité et environnement cloud, les entreprises s'assurent qu’une protection optimale peut être déployée sur un large éventail d'environnements cloud. L'entreprise a ainsi toute liberté de choisir la plate-forme cloud de son choix, en toute confiance.
Pour les équipes de sécurité, un framework de sécurité unifié et collaboratif simplifie la protection et offre une visibilité optimale sur un univers digital aussi diversifié qu'étendu. Les opérations sont plus simples, la fourniture des services est efficace, la courbe d'apprentissage s’accélère et la protection globale se renforce. Sans ce framework unifié, vous risquez de vous heurter à des défis et obstacles qui peuvent freiner la transition de l'entreprise vers le cloud.
Adopter les pratiques DevOps
Pour intégrer la sécurité dans ces environnements cloud évolutifs, les équipes de sécurité et réseau doivent adopter les pratiques, les outils, la culture et l'état d'esprit DevOps. La sécurité devient elle-même du code, c'est ce qu'on appelle Infrastructure as Code (IaC), autrement dit un simple service informatique qui est consommé à la demande. Elle est orchestrée par des outils DevOps, validée dans le pipeline CI/CD (Continuous Integration/Continuous Deployment) et mise à disposition des différentes équipes dans un référentiel centralisé.
Cette approche Security as Code, ou as a Service, doit être en libre-service, flexible et modulaire. Elle doit bénéficier de l’IA et du Machine Learning, tout en offrant une cyberdéfense en temps réel pour gérer les risques liés aux attaques, aux vulnérabilités ou à de simples erreurs. Mais surtout, les équipes de sécurité doivent offrir une flexibilité et une agilité à la demande, inhérentes à l’univers DevOps. L'automatisation et les API deviennent essentielles.
Les avantages de DevSecOps
Les équipes de sécurité et réseau qui maîtrisent le cloud et excellent dans cet univers agile sont en mesure d'apporter une véritable valeur business à leur entreprise. Une équipe intégrée de développement, de sécurité et opérationnelle (DevSecOps) exploite son expertise pluridisciplinaire et harmonise les processus afin de fournir de meilleurs résultats business, plus rapidement, avec moins de risques et plus efficacement.
Quand la sécurité fait partie intégrante de l'environnement global, à chaque étape du cycle de développement, les risques sont mieux gérés et les versions sécurisées seront toujours validées. Ceci évite des surprises de dernière minute ou les refontes coûteuses lorsque le code logiciel passe de la phase de développement à celle de test, puis au déploiement. Les environnements peuvent différer selon les étapes et une approche multiplateforme de la sécurité simplifie cette tâche. L'abstraction de la fonction de sécurité par rapport à l’environnement cloud et son automatisation sont absolument vitales.
Investir dans la formation continue
Pour s'adapter à ces nouvelles méthodes de travail, à ces nouveaux environnements et à ces nouveaux outils, les collaborateurs doivent eux-mêmes s'adapter. Tout est désormais code logiciel et chaque environnement cloud est totalement unique et propriétaire. Les équipes doivent comprendre comment concevoir la sécurité dans et pour ces univers, comprendre les services et les différentes options disponibles, et décider de la meilleure utilisation possible. La tâche s’annonce complexe, d’autant plus que les équipes adoptent les micro-services.
Tirez parti de l'expertise des éditeurs de logiciels pour accélérer ce processus. Ils ont l'expérience de la conception et de l'intégration de la sécurité dans différents environnements cloud et scénarios clients. Leurs designs modulaires éprouvés fournissent des modèles de base qui peuvent être personnalisés et adaptés pour répondre à chaque besoin spécifique. Beaucoup de ces éditeurs proposent également des formations gratuites. Ils peuvent offrir des services professionnels et de conseil autour du cloud computing pour accélérer la transition d'une équipe vers le cloud.
Tirer pleinement parti du cloud
Les équipes de sécurité et réseau accompagnent et sécurisent la transition d'autres équipes de développeurs vers le cloud, mais elles peuvent également profiter de ce cloud pour fournir leurs propres services. Lorsque de nouveaux projets voient le jour ou que les solutions de sécurité existantes doivent être renouvelées, les équipes chargées de la sécurité et des réseaux peuvent saisir cette opportunité pour évaluer leurs options, de la même manière que leurs homologues chargés des applications.
- Devons-nous concevoir l’infrastructure de sécurité ou simplement utiliser la sécurité en tant que service - Security as a Service (SecaaS) ?
- Si nous concevons cette sécurité, doit-elle être dans le cloud ou sur site ?
- Si dans le cloud, lequel ?
- Quels sont les services cloud qui permettent d’automatiser la gestion des risques, la défense contre les menaces et la mise en conformité ?
Le cloud offre donc la possibilité de transformer la manière dont la sécurité et les connexions sont elles-mêmes fournies.
Créer un Centre d'Excellence du Cloud
La transition vers le cloud n'est pas une tâche aisée. Elle exige que les compétences et les structures appropriées soient en place dans l'ensemble de l'entreprise. Elle nécessite une coordination, un engagement et un consensus entre les différentes fonctions et équipes. Un Centre d'Excellence du Cloud est la meilleure approche pour faciliter cette transition.
Cette équipe pluridisciplinaire peut accélérer la transition vers le cloud en réunissant les compétences et les talents capables d'assurer la normalisation et l'automatisation indispensables au succès du projet. Il ne s'agit pas de créer une équipe statique d'experts en technologie. Cette équipe doit être évolutive, être composée de spécialistes des technologies, de la finance, des achats et du monde des affaires. Elle se structure en fonction des besoins de l'entreprise pour atteindre les objectifs business définis pour le cloud et gérer les risques.
Impliquer les dirigeants
Pour réussir la transition vers le cloud, il s’agit de déployer de nouveaux processus, de nouvelles structures organisationnelles et d’améliorer considérablement les compétences des collaborateurs. Le soutien de la direction générale est crucial. Bonne nouvelle, le cloud et la cybersécurité sont désormais des préoccupations essentielles pour les dirigeants. Une opportunité que les professionnels de la cybersécurité peuvent saisir.
Pour cela, il s’agit de dialoguer et communiquer avec les dirigeants en utilisant le langage des affaires : expliquer clairement la valeur business que la cybersécurité et les nouvelles structures offrent à l'entreprise en termes de ROI, d'avantage concurrentiel, de valorisation de l'entreprise, de gestion des risques et de conformité réglementaire. Ceci est essentiel pour faire évoluer le rôle de la sécurité dans l'entreprise et obtenir le soutien de la direction générale pour les projets stratégiques.
Lorsqu'elle est menée à bien, la transition vers le cloud apporte rapidité, agilité et services de pointe, positionnant l'entreprise sur les rails du succès digital. Pour les équipes de cybersécurité et réseau, c'est l'occasion de transformer leur rôle au sein de l'entreprise et de se positionner en tant qu'acteurs essentiels d'un succès qui s’inscrit dans la durée.
Par Christophe Auberger, CTO, CISO Advisor, Speaker, Cyber Security Evangelist, Innovation advocate chez Fortinet
