Toute innovation tend à comporter sa part de risque et certaines entreprises n’hésitent pas à forcer l’innovation au détriment de la sécurité des systèmes. Pourtant, il est possible de prendre des risques raisonnés et de prendre des risques et innover tout en faisant de la sécurité la première des priorités. Explications…
En tant que responsable de la sécurité, comment faites-vous de l’innovation la force motrice de votre entreprise tout en gérant les risques qui découlent du fait d’agir vite pour moderniser votre architecture informatique, adopter une conception moderne des applications, déployer de nouvelles applications et, au final, apporter plus de valeur à vos clients ?
La difficulté de concilier efficacement risque et innovation est bien réelle : 76 % des personnes interrogées dans le cadre de la dernière enquête State of Application Strategy ont déclaré qu’elles seraient prêtes à suspendre certaines mesures de sécurité pour obtenir des gains de performance (beaucoup le feraient même pour des gains relativement faibles !).
De telles concessions peuvent rendre une entreprise vulnérable, et les solutions de sécurité qui remplissent tout juste les critères minimums sont susceptibles d’éroder la confiance des clients et de nuire à la réputation en cas d’incident. Il est difficile de déployer une sécurité qui soit à la fois très efficace et simple à utiliser pour les entreprises de tous les secteurs : des services financiers, où le système bancaire ouvert et l’utilisation d’API tierces peuvent rendre la protection des applications plus complexe, aux administrations publiques.
Comprendre l’évolution des besoins des clients
Le périmètre de sécurité traditionnel est mort depuis longtemps. L’évolution des architectures applicatives vers un modèle plus distribué, combinée à l’adoption accrue des solutions SaaS (93 % des organisations utilisent une offre as-a-Service basée sur le Cloud*) et des déploiements en périphérie, fait de la sécurité une préoccupation nécessairement omniprésente. Si l’on ajoute à cela l’impératif d’aller toujours plus vite pour soutenir une innovation produit prolifique (en réponse à l’augmentation du télétravail et à la demande accrue de services tels que la télémédecine et la banque en ligne, pour n’en citer que quelques-uns), il est clair que le rôle de la fonction sécurité dans l’entreprise a fondamentalement changé.
Aujourd’hui, la sécurité doit remplir de multiples missions : facilitateur de la transformation numérique, gardien de la confiance des clients et rempart de la réputation de l’entreprise. Il incombe de veiller à ce que tous les membres du personnel comprennent le rôle central du groupe chargé de la sécurité dans la réussite de l’entreprise. Faire évoluer la perception de la sécurité, d’une simple fonction à un état d’esprit, est un véritable changement de culture qui requiert du temps et des efforts.
Mais alors comment faire pour y parvenir ? Rendez la sécurité accessible !
Pour instiller ce changement de culture à l’échelle de l’organisation, chacun doit adopter un état d’esprit mettant la sécurité au premier plan. Accélérer ce changement en rendant les solutions de sécurité plus faciles à déployer quels que soient l’environnement, l’architecture des applications ou les ressources en personnel.
L’unification de la déclaration et de l’exécution des politiques de sécurité des applications dans les environnements sur site, dans le Cloud public et en périphérie aide à harmoniser la sécurité entre les applications anciennes et modernes, et réduit le temps passé par vos équipes à résoudre les problèmes. En renforçant la protection depuis le centre de données jusqu’à l’utilisateur final, les clients bénéficieront à chaque fois d’une expérience numérique sûre et sans friction.
Pour cela, il est inutile d’agir seul, ni d’être une entreprise « born-in-the-Cloud » avec une large équipe de sécurité. Par exemple, la direction de l’agriculture et de l’économie rurale (Agriculture and Rural Economy Directorate) du gouvernement écossais qui a réussi à relever les défis de la sécurité et de la transformation numérique en optant pour un service géré qui permet une sécurité multicouche dans tous les environnements.
Aller à la rencontre des développeurs
La sécurité ne doit plus passer au second plan dans le processus de développement. De la même manière que les équipes DevOps s’associent à leurs collègues chargés des produits pour rationaliser et accélérer le développement et le déploiement, SecOps peut contribuer à réduire les difficultés liées à l’intégration de la sécurité dans l’application, en collaborant avec les équipes de développeurs pour définir et élaborer des politiques déclaratives de sécurité de l’application, en intégrant la sécurité dans leurs chaînes d’outils CI/CD préférées et en veiller à ce que chacun puisse exploiter la télémétrie pour affiner et protéger l’application. Il y a d’ailleurs, des entreprises comme Riot Games qui possèdent des équipes de sécurité déterminées à collaborer de manière fructueuse avec les équipes de développement.
En apportant aux créateurs d’applications des tableaux de bord, des garde-fous et des outils faciles à utiliser, il est possible de réduire le désir de contourner les pratiques de sécurité tout en aidant les développeurs à résoudre leurs problèmes et à faire progresser l’entreprise. C’est ce que font aujourd’hui des entreprises comme Audi dans leurs environnements modernes, basés sur des microservices, pour stimuler l’innovation tout en veillant à ce que la sécurité soit intégrée à la plateforme.
En demander plus aux fournisseurs
Au-delà de ces recommandations internes, les responsables de la sécurité doivent également regarder vers l’extérieur et poser les questions difficiles à chaque fournisseur :
- Est-il à l’avant-garde de la sécurité ? Se contente-t-il d’aider ses clients à résoudre leurs problèmes actuels ou anticipe-t-il activement l’avenir ?
- Son produit (ou mieux encore sa plate-forme) privilégie-t-il les API ? C’est important pour l’orchestration de la gestion, la mise en application en direct et pour améliorer plus facilement la posture de sécurité des API utilisées de plus en plus massivement pour fournir des services aux clients (les projections prévoient deux milliards d’API actives dans le monde d’ici 2030).
- 87 % des entreprises exploitent à la fois des applications anciennes et modernes et des 77 % qui exécutent des applications dans plusieurs Clouds* : les solutions du fournisseur fonctionnent-elles sur différentes architectures, quel que soit l’endroit où les applications sont déployées ?
- Le fournisseur s’investit-il dans l’intégration avec les principales chaînes d’outils et plateformes d’analyse de données ? C’est fondamental car 98 % des entreprises* reconnaissent qu’elles ne disposent pas des informations dont elles ont besoin pour atteindre leurs objectifs commerciaux et améliorer l’expérience client.
- Explore-t-il la façon dont l’automatisation, l’apprentissage automatique et l’IA peuvent être utilisés pour offrir une sécurité plus rapide, plus efficace et plus proactive avec peu de ressources ?
- Peut-il permettre de renforcer la sécurité des applications et des API à chaque étape du processus d’évaluation et d’atténuation des menaces ?
Demander les capacités nécessaires pour protéger les clients et aider l’entreprise à offrir des expériences transparentes et satisfaisantes malgré une pénurie de ressources et de talents. Et si le fournisseur actuel n’est pas en mesure de répondre aux besoins de l’entreprise, il faut envisager de chercher ailleurs.
Et ensuite ?
Alors que la sécurité occupe une place plus centrale au sommet des entreprises, c’est pour donc l’occasion de défendre les meilleures pratiques dans des domaines tels que la modernisation de l’informatique, la migration vers le Cloud, la sécurité des applications et des réseaux, et l’accès Zero Trust. En atténuant le risque qui accompagne inévitablement l’innovation, l’entreprise peut avancer dans sa transformation numérique sans sacrifier la confiance des clients.
Il faut commencer dès maintenant à aider les équipes à développer un état d’esprit axé sur la sécurité. Comment ? En collaborant avec d’autres groupes fonctionnels, notamment les équipes en charge des produits et de l’expérience client, afin de leur fournir les capacités dont ils ont besoin. En adoptant des solutions de plateforme simples à mettre en œuvre et à utiliser, nécessitant moins d’intervention humaine, s’intégrant avec les partenaires de l’écosystème et s’adaptant aux nouvelles menaces et vulnérabilités.
Sécuriser une entreprise numérique implique de gérer un éventail de risques sans pour autant négliger d’autres objectifs du monde réel. En d’autres termes, il s’agit de trouver un équilibre entre les performances, l’expérience client et les coûts acceptables, d’une part, et des niveaux satisfaisants de protection et de conformité en termes de sécurité, d’autre part. En rendant les solutions de sécurité plus accessibles, en fournissant aux développeurs des outils faciles à utiliser et en exigeant davantage des fournisseurs, il est possible d’assurer la sécurité d’une entreprise tout en contribuant à offrir aux clients les expériences inspirantes qui nourrissent la croissance.
___________________
Par Haiyan Song, vice-président exécutif et directeur général Sécurité et Clouds distribués chez F5.