La cybersécurité est-elle un frein à l'innovation ?
La plupart du temps, la sécurité est un obstacle dans l’accomplissement de certaines tâches : un oubli de mot de passe, l’attente avant que des ressources ne soient disponibles, ou une prise de décision risquée qui retarde un nouveau projet. Cependant, lorsque la sécurité est abordée correctement et avec une approche réfléchie, il n’y a pas de raison que le sujet devienne un problème.
Les entreprises d'aujourd'hui, toutes tailles confondues, doivent plus que jamais être flexibles. La digitalisation semble transformer tous les marchés verticaux. Le quotidien des entreprises est remis en cause jour après jour par l'expansion globale des marchés commerciaux, par les nouvelles avancées scientifiques, les nouvelles technologies et les nouveaux modes de génération de revenus. L’expansion du cloud computing, du DevOps et des cycles courts de production suffisent à donner la mesure du phénomène. Le changement a atteint une telle vitesse que les DSI et les Directeurs de la transformation digitale ont désormais du mal à tenir la cadence. Et si eux ont du mal à suivre le rythme, comment les professionnels de la sécurité peuvent-ils espérer le faire ?
Même si elle porte plus particulièrement sur la gestion des identités et des accès, l'étude Global Trends in Identity Governance & Access Management, menée par le Ponemon Institute aboutit à des conclusions pertinentes pour la cybersécurité dans son ensemble.
Les principaux résultats de cette étude sont :
• 62 % des répondants ont déclaré ne pas être en mesure de suivre le rythme du changement ou de mettre en place des contrôles suffisamment étendus pour protéger l'information.
• 44 % estiment que le processus de contrôle d’accès est fastidieux.
• 64 % pensent que la sécurité des informations des clients est menacée par des contrôles d'accès insuffisants.
• 47 % des sondés affirment que ce même risque pèse sur les données des employés eux-mêmes.
• 49 % croient que l'IdO (l’Internet des Objets) est une tendance importante qui a un impact sur la gestion des identités et des accès.
Il ne fait aucun doute que la sécurité peut créer, et c’est souvent le cas, des frictions dans l'entreprise ainsi qu’au niveau du déploiement des nouvelles technologies. Cette étude a mis en exergue que le fait de disposer des accès nécessaires en temps voulu est critique pour les utilisateurs, ce qui illustre bien les frictions qui peuvent être engendrées par la mise en place de mesures de contrôle. La plupart des autres formes de contrôle de la sécurité sont en reste sur l'adoption accélérée des nouvelles technologies, du développement ou des approches de gestion. Encore aujourd’hui, nombre d'entreprises sont réfractaires aux changements et s’accrochent à d’anciennes pratiques et technologies. Ces pratiques ne fonctionnent tout simplement pas, et là où elles fonctionnent, l’efficacité est en berne et cela ralentit inutilement l'adoption du cloud.
Le rapport contient quelques recommandations à l'attention des entreprises, et qui s'appliquent aux domaines de la sécurité :
Créez une relation plus collaborative entre les équipes de sécurité et les équipes IT. Les entreprises cherchent à déplacer l’infrastructure vers des plates-formes mobiles et cloud, et doivent donc combler le fossé entre le besoin de sécurité organisationnelle et la continuité du business. La sécurité ne peut être un paramètre passant au second plan, dans ce processus. Les équipes doivent collaborer en permanence pour assurer la mise en place de processus de travail plus sécurisés.
Mettez en place un processus pour vérifier l'identité de l'utilisateur. L'autorisation d'accès basée sur des niveaux d’accréditation est une obligation pour toutes les entreprises. Elles auront besoin de conseils et de garde-fous au niveau de leurs services IT afin de mettre en place et de maintenir les meilleures pratiques de gestion des accès. Il est important que l'équipe de sécurité et les équipes IT travaillent ensemble à la création de ces processus, afin de s'assurer que des risques n’apparaitront pas au fil du temps.
Méfiez-vous des systèmes « maison ». Ces systèmes développés en interne ont du mal à suivre la croissance des entreprises et ne sont pas suffisamment flexibles pour inclure l'utilisation de plates-formes mobiles et le passage éventuel vers le cloud. Bien que les solutions développées en interne aient pu fonctionner par le passé, elles ne sont pas durables, le rythme du changement est tel, avec des modifications survenant de manière continuelle, que des systèmes à évolution permanente doivent être mis en place.
Choisir dès le départ des solutions développées nativement pour le cloud semble donc être pertinent pour faire face à cette problématique.
Créez des synergies. C’est l'essence-même du DevOps, il est nécessaire de mettre constamment l’accent sur la construction et le maintien de la collaboration entre tous les intervenants de l'activité de l’entreprise - la Direction, le développement, les opérations et la sécurité.
Enfin, les entreprises doivent aller au-delà de la simple élaboration de processus. La règle de base doit être que tout ce qui peut être automatisé concernant l'informatique et la sécurité, doit l’être autant que possible. Si les analyses de mise en conformité et de vulnérabilité peuvent être automatisées, cela doit être fait. Idem pour les tests automatisés d'applications, de gestion des identités et des accès, de prévention des fuites de données, etc.
La seule façon pour les équipes de sécurité de pouvoir suivre les changements consiste à automatiser ces processus autant que possible. La mise en garde est ici qu'ils doivent être particulièrement vigilants au fait que leurs outils et scripts automatisés soient gérés de façon à être et à rester conformes à la technologie, au système et aux changements de politique.
Même si ces pratiques ne permettront pas de relever tous les défis liés à l'adoption rapide de nouvelles technologies et à l'évolution des conditions du marché, les entreprises, en s'assurant que leurs intervenants collaborent autant que possible, en adoptant l'automatisation et en cherchant par anticipation des solutions basées sur des technologies cloud, seront à même de répondre bien plus rapidement et de manière plus sécurisée à de nouvelles situations que les entreprises qui feront l’impasse sur ces mesures.
Source: Bitdefender
1146 Mollens