Actus AssurTech / InsurTech
L’avènement de l’ère du « multicloud hybride » impose la modernisation des approches cyber
La transformation à grande vitesse des systèmes d’information (SI) et l’avènement de l’ère du « multicloud hybride » imposent de moderniser la conception de la cybersécurité, sous peine d’investir sans réduction de risque réelle à la clé. Les organisations font face en particulier à l’éclatement de leur SI sur plusieurs Clouds publics, privés et hybrides, au télétravail et aux terminaux personnels (BYOD). Elles mettent en place de nouvelles équipes agiles, des processus DevSecOps, et de nouvelles technologies de développement d’applications. Le tout sous la pression toujours plus intense de directions métiers qui considèrent leur entreprise comme une « tech company » en devenir et souhaitent mettre en œuvre de nouveaux services digitaux au meilleur niveau du marché, le plus rapidement possible.
Dans ce contexte, le comex se doit de s’assurer que son programme de cybersécurité se transforme à la même vitesse que ses métiers.
encadré Le « security by design » d’une grande banque française – Points clés
Trois éléments saillants aident les organisations à adapter « la cybersécurité à la vitesse du business » et justifient l’attention des comex :
1. L’adoption des principes « Zero Trust »
2. La sécurité « by design »
3. L’optimisation de la pile technologique cyber
Un nouveau cadre de référence : « zero trust »
L’approche « zéro trust » est une nouvelle manière de concevoir la cybersécurité. Elle part du principe que le SI sera tôt ou tard pénétré par un cyberattaquant et pose un ensemble de principes adaptés aux SI d’aujourd’hui. Ces principes recentrent la cybersécurité autour de la donnée et de la vérification de tous les accès : des utilisateurs, mais aussi des éléments du SI entre eux. Formaliser un cadre stratégique et les pratiques pour mettre en œuvre cette approche pour les nouveaux projets offre l’opportunité de repenser une réelle stratégie cyber autour des usages, liant un dialogue plus étroit avec les métiers qui portent la responsabilité finale des risques. Cela permet de dépasser l’approche traditionnelle limitée au « contrôle à posteriori » pour avancer vers une réelle stratégie cyber, intégrée à la stratégie d’entreprise, qui fasse entrer par la même occasion dans le périmètre de la cybersécurité les enjeux émergents liés aux données : que ce soit à travers la mise en sécurité des modèles d’intelligence artificielle ou encore la protection des données de l’entreprise contre la capacité des futurs ordinateurs quantiques à « casser » leur chiffrement.
La montée en puissance des méthodes agiles et les défis du « secure by design »
La création de SI sûrs dès leur conception (« by design ») est une des clés fondamentales du problème. Ces dernières décennies, rares sont les entreprises qui ont investi largement dans la sécurité des cycles de développement applicatifs, en témoigne le fait que trois quarts des entreprises n’ont pas encore adopté ces pratiques (CLUSIF, 2020). En conséquence, l’impact de cet effort n’est que très peu perçu par les parties prenantes, les métiers en premier lieu.
Les équipes informatiques se sont souvent montrées capables de répondre aux impératifs de vitesse de mise sur le marché (le « time to market ») et de maîtrise des coûts, mais presque toujours au détriment d’activités moins visibles telles que la sécurité. Ces années de manque et cette « réputation » de l’IT créé plusieurs difficultés :
i. Le patrimoine tech et applicatif est empreint d’une « dette technique cyber » plus ou moins importante et plus ou moins visible. Comment l’évaluer, la quantifier et la résorber ?
ii. Les métiers ont pris l’habitude d’une certaine vitesse de développement d’applications à un coût réduit : comment intégrer la sécurité sans remettre en cause cet équilibre ?
Pour y répondre, des approches modernes de sécurité dans les développements émergent : le « Secure by Design », le « DevSecOps ». L’objectif est de faire de manière mieux sécurisée et plus vite. Ces approches sont sous-tendues par des évolutions organisationnelles fortes (« security champion », cycle de développement sécurisé), technologiques (outillages de sécurité adaptés, automatisations) et culturelles (responsabilisation des équipes de développements). Mais, outre les investissements initiaux importants nécessaires, ces approches en sont encore à leurs débuts : les compétences sont rares sur le marché et difficiles à acquérir, les technologies ne sont pas toutes matures et évoluent vite, les changements culturels prennent du temps, surtout quand deux silos organisationnels sont impliqués (SSI et développements). Ainsi, l’amélioration de la sécurité des applications, avec un budget maîtrisé et sans dégrader les délais de mise sur le marché, ne peut se faire que de manière très progressive.
Le comex a un rôle essentiel à jouer dans cette démarche. L’enjeu est de taille puisqu’il s’agit de digitaliser l’entreprise plus vite et en confiance. Notre conviction est qu’il faut mettre en place une structure de gouvernance pour assurer une évolution continue et pérenne dans le temps. Le comex doit être sponsor de cette initiative, garantir sa visibilité et sanctuariser les moyens alloués sur plusieurs années (3 à 5 ans).
Les entreprises engagées dans un « move to Cloud » massif n’ont, quant à elles, pas réellement le choix. Les pratiques de sécurité des applications plus traditionnelles qu’elles auraient pu avoir mis en place s’avèrent inadaptées aux contextes agiles/Cloud. Soit les entreprises investissent rapidement et plus massivement sur ces nouveaux principes, soit elles s’orientent vers une dégradation brutale du niveau de sécurité de l’entreprise. Nombreuses sont celles qui le réalisent tard, ce qui crée d’énormes frustrations, des délais et des coûts additionnels importants.
Pour toutes les organisations et d’une manière générale, on peut retenir que les gains de productivité d’une organisation agile mature doivent pouvoir produire des applications beaucoup plus sécurisées, qu’elles soient développées en « méthode V » ou « waterfall »1, à productivité égale ou meilleure. Autrement dit, les gains de productivité à terme doivent permettre de financer une bien meilleure sécurité. Il y a un enjeu de capacité à faire prendre ces décisions d’investissement et d’organisation en s’appuyant sur la gouvernance de l’entreprise et sur les pratiques décrites dans notre article précédemment consacré au sujet, par exemple sur la quantification des risques, afin de pouvoir valoriser la réduction du risque opérationnel face à l’investissement nécessaire.
L’optimisation des outils par la « plateformisation »
Un autre levier clé pour libérer de la capacité d’investissement et gagner en impact est de réduire la « dette technique cyber » en optimisant la pile de logiciels, en décommissionnant ce qui n’est plus utile et en utilisant mieux le reste. En effet, une grande quantité de technologies a été empilée depuis des décennies (on estime la moyenne à 100 technologies cyber par entreprise) et souvent mises en œuvre partiellement pour réagir dans l’urgence à un problème cyber. Pour optimiser l’efficacité du programme, il est nécessaire de réduire la dette technique accumulée et de décommissionner les technologies en doublon ou obsolètes. Pour les technologies conservées, plusieurs défis demeurent… Un analyste dans un centre opérationnel de cybersécurité doit utiliser quotidiennement près de 8 interfaces d’outils différents. Sachant qu’en moyenne il dispose de trois minutes pour traiter chaque alerte, on mesure l’enjeu d’efficacité. Pas étonnant qu’en France, le temps moyen pour détecter une intrusion soit de près de neuf mois (Rapport 2023 sur le coût d’une violation de données, IBM) ! Il est donc important d’intégrer les outils pour réduire le nombre d’interfaces, pour que les analystes cyber puissent partager les données et ainsi permettre de réduire les risques. Détecter une intrusion nécessite de réaliser un enchaînement d’actions précises, en s’appuyant sur ce qui doit devenir une suite d’outils intégrés au sein d’une plateforme. C’est pour cela que les organisations les plus matures adoptent une stratégie de « plateformisation », c’est-à-dire que leurs équipes intègrent leurs outils variés au sein d’une plateforme de cyber ouverte.
Actions à considérer par les directions
- Repenser la politique de cybersécurité, en élaborant une stratégie s’appuyant sur un référentiel moderne comme « Zero Trust »
- Transformer le développement de services numériques en mettant en place une organisation et des processus de « DevSecOps » et les principes du « security by design » dans un programme pluri-annuel, sponsorisé par un membre de la direction et piloté dans le cadre de la gouvernance cybersécurité
- S’engager dans une stratégie de « plateformisation » de sa pile technologique pour améliorer l’efficacité des équipes cyber, la vitesse de détection et dégager des capacités d’investissement
Article co-rédigé par Nicolas Meyerhoffer avec Olivier Dupuy d’Uby
Accueil
Envoyer à un ami
Version imprimable
Augmenter la taille du texte
Diminuer la taille du texte