Au fil des ans, le budget des RSSI n’a cessé de croître et a augmenté en fonction de la perception du risque et du coût des contrôles. Nous sommes aujourd’hui à un point d’inflexion où la prolifération (et les coûts associés) d’un large éventail de services/systèmes de protection se heurte au climat macroéconomique actuel. De nos jours, les professionnels de la cybersécurité sont confrontés au défi complexe de trouver un juste équilibre entre le niveau de sécurité et l’évolution des menaces, tout en réduisant les coûts et les efforts nécessaires : en bref, ils doivent faire mieux avec moins.
Relever ce défi ne se limite pas à acquérir de nouveaux outils de sécurité, mais implique avant tout d’optimiser l’efficacité de ces derniers afin d’en exploiter la valeur. Plutôt que de sélectionner les meilleures solutions de sécurité dans chaque catégorie, il est temps d’adopter des stratégies « best in suite » qui s’appuient sur une approche intégrée pour contrer les risques de manière globale. Ce qui implique de choisir une solution en fonction des résultats qu’elle offre, plutôt que de se focaliser uniquement sur les fonctionnalités souhaitées.
S’éloigner de la fonctionnalité pour privilégier les résultats
L’approche traditionnelle consistant à choisir les meilleures solutions pour chaque problème de sécurité conduit à deux problématiques majeures : l’escalade des coûts et l’inefficacité opérationnelle de l’infrastructure de sécurité. Effectivement, chaque solution nécessite un achat et une administration distincts, ce qui se traduit par une architecture de sécurité lourde et complexe. Par ailleurs, lorsque les achats de technologie sont uniquement basés sur un ensemble d’exigences de contrôle connues, les « cas limites » et la valeur ajoutée immédiate ou future ne sont pas évalués.
Cette situation découle de la manière dont les décideurs sélectionnent une solution. Plutôt que d’explorer de nouvelles possibilités, ces derniers se concentrent souvent sur la technologie existante qui doit être remplacée lors de la mise à jour de l’infrastructure de sécurité. Ce faisant, ils se limitent aux fonctions et caractéristiques existantes, sans sortir des sentiers battus. Ils voient la nouvelle technologie à travers le prisme de l’ancienne.
Or en se concentrant uniquement sur des solutions connues, ils ont tendance à ne pas en évaluer de nouvelles et donc à ne pas répondre aux attentes de la Direction, qui cherche à renforcer la sécurité tout en réduisant les efforts et les coûts. Pour y remédier, il faut donc qu’ils adoptent une approche axée sur les résultats souhaités en matière de sécurité et sur les objectifs de l’entreprise, plutôt que de se focaliser uniquement sur la capacité d’un produit à atteindre des objectifs préétablis.
Le Zero Trust : intégrer la sécurité
La meilleure approche est de se concentrer sur le résultat que l’on souhaite obtenir d’une solution, plutôt que sur la prévention de menaces spécifiques telles que les ransomwares. Il est essentiel que les RSSI comprennent comment ces menaces se propagent afin de pouvoir les arrêter à la source. Les ransomwares représentent par exemple un modèle économique lucratif, car ils ont la capacité de se propager latéralement au sein d’un système informatique compromis et de cibler des systèmes critiques afin d’usurper ou de chiffrer des données. Étant impossible d’éliminer toutes les attaques, les entreprises doivent s’efforcer de mettre en place des mesures empêchant les attaquants de se déplacer librement dans l’infrastructure du réseau et de compromettre les données sensibles. Afin de renforcer la sécurité, il est donc essentiel d’opter pour des outils modernes capables de détecter et de bloquer les tentatives d’intrusion dans l’environnement réseau.
Il faut donc adopter une perspective plus large si l’on souhaite prévenir l’accès non autorisé et l’exploitation des infrastructures réseau. Avec l’adoption croissante des modèles de travail hybrides, il devient primordial de sécuriser l’accès direct de chaque utilisateur aux applications dont il a besoin, plutôt que de se concentrer sur la sécurisation de l’accès de ces mêmes utilisateurs au « réseau » dans son ensemble. Il est en effet plus efficace d’appliquer la politique d’accès et les mesures de sécurité au niveau des applications elles-mêmes. Une approche de type Security Service Edge (SSE) permet d’assurer cette sécurité grâce au modèle Zero Trust.
Une plateforme Zero Trust gère et surveille l’accès de chaque utilisateur à l’application ou au service web dont il a besoin en fonction de son rôle et des paramètres préétablis par l’entreprise. La sécurité est appliquée dès la connexion en ligne, que l’application soit hébergée dans le cloud ou sur le réseau interne de l’entreprise. La plateforme Zero Trust applique de manière centralisée le principe du moindre privilège, assurant ainsi que l’accès granulaire à chaque application remplace l’accès au réseau dans son ensemble.
Les étapes d’une sécurité centrée sur les résultats
Afin d’améliorer et de moderniser la sécurité, il est crucial que les RSSI adoptent une approche stratégique axée sur les résultats, plutôt que de considérer la sécurité comme un simple ensemble de fonctionnalités techniques. Voici quelques étapes permettant de renforcer la sécurité de manière plus efficace :
A/ Évaluer la sécurité actuelle
La première étape consiste à reconnaître la nécessité de moderniser la sécurité. Même dans un contexte économique difficile, les RSSI ne peuvent pas se permettre d’hésiter face au changement. Il est essentiel de démontrer quels peuvent être les avantages d’une transformation, tant sur le plan financier que du point de vue de la sécurité. Pour assurer une transition vers une nouvelle sécurité sans coûts supplémentaires, les dirigeants doivent identifier et éliminer tout gaspillage et toute redondance dans l’infrastructure existante. En se posant notamment la question suivante : de quelles technologies disposons nous pour atteindre nos objectifs en matière de sécurité et d’activité ?
Pour ce faire, il faut dresser un inventaire de toutes les solutions de sécurité et de leurs capacités. Il est également nécessaire de tenir compte des cadres de sécurité déjà en place, qui peuvent jouer un rôle essentiel dans l’atteinte des résultats souhaités. Une fois les résultats définis, les RSSI peuvent les utiliser comme critères pour orienter les décisions du Conseil d’Administration vis-à-vis de la gestion des risques.
B/ Identifier les pertes d’efficacité
Une analyse approfondie des technologies de sécurité utilisées peut révéler des zones de chevauchement et de redondance, qui peuvent être sources d’inefficacité en augmentant la charge de travail et les coûts administratifs. Pour consolider l’infrastructure et optimiser les performances en matière de sécurité, ces redondances doivent être identifiées et éliminées. Ce qui s’avère souvent être le meilleur moyen de réaliser des économies.
Dans le passé, les doublons étaient liés au fait que les technologies de sécurité étaient introduites progressivement, au fur et à mesure des besoins. Au fil du temps, cela engendre un piège financier car la gestion et la maintenance d’une grande variété de systèmes entraînent des coûts supplémentaires. Une approche « best-in-suite » permet d’éliminer ces inefficacités en combinant une plus grande fonctionnalité tout en réduisant les frais généraux d’administration. Les dirigeants peuvent ainsi progressivement abandonner les systèmes existants dont la configuration et les mises à jour constantes demandent beaucoup de temps et d’efforts manuels.
C/ Définir les résultats recherchés
Pour initier un changement en matière de sécurité, il est essentiel d’avoir une vision globale allant au-delà des technologies individuelles. En parallèle, il faut également se demander comment la consolidation peut répondre aux besoins de numérisation d’une entreprise. Quelles sont exactement les exigences de sécurité pour les environnements de production numérisés, les services web ou les nouvelles normes de communication telles que la 5G ? Ces exigences doivent être intégrées dans la définition des résultats recherchés.
Une approche de la sécurité centrée sur les résultats aide les entreprises à intégrer l’ensemble de leurs activités. Plutôt que de se concentrer sur les technologies à remplacer, elles peuvent en effet faire de la sécurité un avantage concurrentiel et la présenter comme un véritable atout commercial auprès du Conseil d’Administration : non seulement pour prévenir les pertes dues à une attaque, mais également pour numériser en toute sécurisée davantage de domaines d’activité. Une approche basée sur une plateforme de sécurité conforme aux meilleures pratiques constitue le fondement de cette approche.
D/ Être prêt à se démarquer grâce à des capacités non requises
Le processus classique d’achat par « appel d’offres » est un mécanisme puissant qui a longtemps joué un rôle essentiel en assurant un bon rapport coût-efficacité et en évitant les mauvaises décisions d’achat. Toutefois, son approche rigide axée sur les « besoins connus » limite la possibilité d’exploiter tout le potentiel des suites de solutions. C’est pourquoi il est important de s’assurer que tout processus d’appel d’offres dispose d’une certaine souplesse pour évaluer formellement et/ou attribuer une valeur aux capacités sortant du strict cadre des exigences fonctionnelles.
L’objectif en ligne de mire
En ayant une vision précise de ce qu’elles souhaitent accomplir via leur approche de sécurité, les entreprises peuvent simultanément réduire leurs coûts et transformer leur modèle.
Adopter une stratégie de sécurité axée sur la neutralité des coûts et sur une consolidation efficace de l’infrastructure existante leur permettra ainsi d’améliorer rapidement leur posture tout en s’engageant vers un bel avenir numérique.
____________________________
Par Marc Lueck, RSSI EMEA chez Zscaler