Comme l’a déclaré Warren Buffet, « Vingt années sont nécessaires pour construire une réputation, et cinq minutes suffisent pour la détruire. Pensez-y, et vous aborderez les choses différemment ». Échaudées par les conséquences du piratage dont l’opérateur de télécommunications britannique TalkTalk a récemment été victime, de nombreuses entreprises — et notamment leurs responsables de la sécurité des systèmes d’information (RSSI[1]) — ne contrediront pas le célèbre homme d’affaires américain. En ce qui concerne la stratégie de sécurité de données, « aborder les choses différemment » n’est plus une case à cocher dans une to-do liste, c’est une priorité pour tout chef d’entreprise digne de ce nom.
Le RSSI devient ainsi l’interlocuteur privilégié pour la défense des clients (customer advocacy), la protection de la marque et la mise en place de nouveaux moyens capables de sécuriser efficacement les données de son entreprise et des employés tout en réduisant les coûts et en simplifiant les processus métier pour favoriser la compétitivité.
Or, face à la recherche d’un certain équilibre entre progression de la mobilité, cloud computing et Internet des objets, réussir en intégrant ces nouvelles responsabilités implique un changement d’approche. L’époque où la construction d’une forteresse permettait de repousser les méchants de manière efficace et de contrôler la situation est révolue. Aujourd’hui, les entreprises doivent assurer la sécurité d’employés qui travaillent à distance et qui utilisent des réseaux et des applications non sécurisés.
Garder le contact avec les utilisateurs des TI
Pour beaucoup, ce virage commence par l’évaluation des avancées technologiques et la manière dont elles peuvent être appliquées à la sécurité. À mesure que les technologies de l’information (TI) ont absorbé la virtualisation, la consolidation et la consommation des technologies, plateformes et services logiciels pour le cloud, les professionnels de la sécurité et de la gestion des risques ont été mis sur la touche. Et si l’automatisation et l’intégration constituent une pratique courante dans les processus informatiques, il n’en va pas de même pour la protection et la sécurité.
Pour passer de la construction d’une forteresse à la sécurisation de « l’entreprise sans frontière », les RSSI se sont mis en quête d’un nouveau type de solution de sécurité. Celle-ci associe la sécurité et le chiffrement des données à des outils de sécurité dans le cloud et de protection des données à base de règles, et peut être mise en œuvre sur tous les canaux de connectivité. Les outils capables d’apporter de la visibilité à l’échelle du cloud et des renseignements concernant les menaces partagées par les utilisateurs rencontrent eux aussi un franc succès.
De plus, ce changement doit intervenir avec effet immédiat ! Selon une enquête effectuée par le cabinet Forrester Consulting pour le compte de Zscaler, 82% des entreprises exigent une fonctionnalité assurant une solide intégration à une technologie de chiffrement ou de sécurité des données — tout de suite ou éventuellement l’année prochaine.
Adopter une approche unifiée
Outre cette transition vers une sécurité accrue, il convient également de changer la façon dont cette fonctionnalité est distribuée. Nombre d’équipes croulent actuellement sous les multiples appliances matérielles et solutions isolées, généralement distribuées par des fournisseurs dans le cadre d’offres souffrant d’une flexibilité et d’une capacité d’intégration limitées. Par conséquent, la prochaine étape logique consiste à étudier comment les entreprises peuvent fédérer leurs outils et fonctions de sécurité dans un cadre centralisé.
L’enquête menée par Forrester corrobore cette suggestion. À une majorité écrasante (98%), les professionnels de la sécurité se déclarent convaincus qu’une plateforme de sécurité intégrée permettrait de déployer une large gamme de fonctionnalités de cybersécurité avec une efficacité supérieure aux solutions indépendantes fournies par différents éditeurs. En fait, 76% des personnes interrogées affirment que cette approche serait plus efficace.
Une étude plus poussée montre que pour les professionnels, de telles plateformes éliminent les barrières qui empêchent la mise en œuvre de techniques de pointe telles que les fonctions analytiques avancées ou l’apprentissage automatique (machine learning), qui reposent sur la distribution d’un grand volume de données cohérentes, toutes technologies confondues. Bien entendu, quand plusieurs outils sont utilisés, il devient extrêmement difficile d’extraire des données cohérentes pour nourrir des informations pertinentes et exploitables.
Rentabiliser la sécurité dans le cloud
De même qu’ils doivent envisager les implications financières d’un changement de stratégie, les différents métiers et les professionnels de la sécurité doivent travailler main dans la main pour aider les entreprises à atteindre ses objectifs globaux. Rendre l’entreprise agile et compétitive dépend non seulement de la productivité ou — dans le cas qui nous intéresse — de la sécurité, mais également d’une baisse des coûts généraux, ainsi que d’investissements intelligents qui ne compromettront pas la stabilité de l’entreprise.
Associer des plateformes de sécurité intégrées et des options de déploiement dans le cloud est la clé d’une meilleure sécurité et d’une évolutivité accrue. C’est également le moyen de réduire les frais généraux et de déplacer des ressources vers des tâches critiques. Résultat, les RSSI doivent se demander comment apporter des améliorations sensibles au niveau des coûts. Cette définition des priorités se reflète dans les conclusions de l’enquête menée par Forrester auprès de 130 professionnels de la sécurité pour qui la réduction des coûts représente un objectif majeur — ainsi que le critère clé de l’adoption des technologies de sécurité dans le cloud.
Cela étant dit, le coût n’est pas le seul argument en faveur des déploiements dans le cloud. Près de la moitié (49%) des répondants se déclarent prêts à adopter la sécurité dans le cloud en tant que service afin de bénéficier d’une protection accrue par rapport aux déploiements sur site. Ainsi, 48% des personnes interrogées indiquent que l’une des priorités de la mise en œuvre d’outils cloud consiste à sécuriser les zones inaccessibles aux outils sur site — sites déportés, appareils mobiles et solutions connectées à l’Internet des objets. Cette fonctionnalité devient primordiale à l’heure où les responsables de la sécurité des systèmes d’information s’intéressent à des stratégies d’avenir parfaitement étanches, au-delà de la forteresse.
Dernières recommandations
Naturellement, les méthodes courantes de sécurisation doivent être adaptées, dans la mesure où les entreprises sont confrontées à des contraintes telles que l’évolution des menaces ou encore des effectifs mobiles et disséminés. Avant de prendre des décisions quant à la manière d’appliquer des techniques plus avancées, les chefs d’entreprise doivent évaluer les outils qui sont déjà à leur disposition, ainsi que les fonctions qu’ils prennent en charge.
Ils doivent ensuite déterminer quelle est la façon la plus efficace de déployer ces capacités. Il est indispensable de constituer un écosystème de sécurité qui donne la priorité à l’intégration et à l’orchestration dans toutes les technologies de sécurité dont dispose l’entreprise. Cette approche permettra aux équipes de rechercher activement des outils pour lesquels les fournisseurs ont déjà développé des capacités d’intégration, ainsi que d’évaluer les offres de sécurité administrée où les prestataires de services peuvent proposer des plateformes pré-intégrées.
C’est en prenant les mesures nécessaires pour répondre efficacement à la nécessité de promouvoir la sécurité dans le cloud comme catalyseur de la compétitivité que les responsables de la sécurité des systèmes d’information pourront protéger l’entreprise ubiquitaire en alliant flexibilité et coût optimisé. Seule cette approche leur permettra de remplir leur rôle en préservant le fragile équilibre entre la confiance des clients et la réputation de la marque.
Les nouveaux challenges des RSSI (CISO) selon Michael Sutton, CISO de Zscaler
[1] CISO :Chief Information Security Officer