Un programme d’austérité dans la gestion de la sécurité informatique est-il nécessaire?
Augmentation des coûts d’exploitation, budgets serrés, menaces Internet en hausse... Voici quelques-uns des symptômes poussant à la mise en place d’un programme d’austérité dans la gestion de sécurité IT. En d’autres termes, la rationalisation de la sécurité IT.
Beaucoup de pays aujourd’hui subissent une
importante pression financière dans le but de réduire les
dépenses publiques, de rétablir les déficits fiscaux pour
finalement alléger la dette de l’Etat. Ce faisant, ils
imposent des réformes structurelles impopulaires aux
entreprises et aux individus. Le terme "austérité" incarne
cette situation.
De même, l’écosystème de la sécurité IT est
soumis à pressions opposées. Quels sont ces points de
pression? Comment impactent-ils la gestion de la sécurité
IT et les objectives de l’entreprise? Les réponses à ces
questions permettront de déterminer si oui ou non un
programme d’austérité dans l’IT est une mesure qui aurait
déjà dû être prise.
Les principaux symptômes et les indicateurs de l’écosystème
La croissance des coûts d’exploitation
Il est
communément admis que les coûts d’exploitation liés à la gestion de la
sécurité IT augmentent naturellement, car les mécanismes de contrôle et de
protection se superposent les uns aux autres. La réalité
est que les équipements de sécurité et leurs relatifs
processus restent souvent en opération au-delà de leur
date d’obsolescence et des solutions supplémentaires se
superposent aux infrastructures existantes pour répondre à
de nouveaux besoins IT urgents.
Des budgets serrés
Alors
que les entreprises ressentent une pression sur leurs
bilans, de nombreux budgets départementaux sont sous
surveillance. La sécurité est particulièrement vulnérable
car elle est encore souvent perçue comme une dépense
inutile plutôt qu’un atout pour l’entreprise.
Des menaces plus étendues
Les
rapports de sécurité montrent un écart de plus en plus
important entre la sophistication des vols de données
d’une part, et les mécanismes de défense et les stratégies
de résilience mises en place dans l’entreprise d’autre
part. En plus, avec les réseaux sociaux et le BYOD (Bring Your Own Device)
dans l’environnement de travail, les données de
l’entreprise sont dorénavant accessibles via une pléthore
de plateformes personnelles, pour la plupart vulnérables,
et que l’IT n’est souvent pas préparé ou équipé à gérer en
toute sécurité.
Prévoir des besoins de croissance
La loi
Moore sur l’évolution de la puissance des processeurs
s’applique également au stockage, au volume de données
transférées et à la bande passante du réseau. Et avec le
passage à la fibre et l’IPv6 dans les réseaux
d’entreprise, l’IT doit rapidement adopter une sécurité
avec des solutions hautes performances. Projeter
précisément des plans de croissance de l’entreprise au
niveau de l’IT et de la sécurité informatique est un
exercice difficile, mais c’est un indicateur clé d’une
bonne gestion du système IT.
La poussée vers le Cloud
Lorsque
les prix sont trop élevés, l’infrastructure trop complexe
et les compétences trop difficiles à trouver, le cloud
peut être considéré comme l’option pour s’en sortir à bon
compte. Toutefois, le cloud computing n’est certainement
pas la panacée de tous les maux IT et comporte ses propres
défis, notamment en termes de sécurité.
La priorisation des projets
Comme les budgets se resserrent et que les
ingénieurs qualifiés deviennent rares, il devient encore
plus critique d’être efficace avec les ressources
disponibles. Les
décisionnaires de sécurité IT doivent se concentrer sur
des projets mesurables où ils peuvent prouver un maximum
d’avantages en matière de prestation de sécurité pour leur
entreprise.
Les trois piliers de l’austérité
Pour une nation, la définition d’un programme
d’austérité peut être définie autour de trois piliers.
Voyons comment ceux-ci s’appliquent à la gestion de la sécurité IT.
L’augmentation
des impôts
Les pays
ont souvent recours à l’augmentation des impôts pour
rétablir les déficits budgétaires. La plupart des
organisations n’ont pas ce luxe. Il est encore rare de
voir la sécurité IT traitée comme un centre de coûts
interne qui facture ses services aux autres départements
opérationnelles.
La restriction budgétaire
La
restriction des dépenses publiques est généralement
l’autre instrument de l’austérité. L’astuce dans ce cas
est de réduire les budgets là où il y a excès plutôt que
de s’en prendre aux services critiques. Comment réduire
les dépenses de sécurité IT sans nuire à la sécurité de
l’entreprise? Ceci nous amène au troisième pilier.
Le rendement et la réforme structurelle
Le moyen
le plus efficace, mais finalement le plus difficile et le
plus long pour compenser la réduction des dépenses est
d’introduire du rendement. Ce
dernier peut exiger une réforme structurelle parallèle
pour plus de rentabilité au niveau du capital, de
l’équipement et de la main d’œuvre. Bien que cette option
soit généralement semée d’un certain nombre d’embûches
pour tout gouvernement en raison de son effet à
long-terme, c’est la meilleure à appliquer dans le cadre
de la gestion de la sécurité IT.
Programme
pour une austérité de la gestion de la sécurité IT sans difficulté: la rationalisation de la sécurité IT
Les
professionnels de la sécurité IT peuvent réaliser de
véritables rendements et même des réformes structurelles
si la stratégie globale de l’entreprise le justifie.
Voyons les composants d’un programme d’austérité pour la
gestion de la sécurité IT, sans difficulté.
Améliorer la gestion des risques IT
La
gestion des risques fait partie des opérations de
l’entreprise depuis un certain temps. Les risques liés à
l’IT sont généralement abordés de façon purement
opérationnelle, conduisant à des plans de continuité et de
sauvegarde. Toutefois, l’impact croissant des menaces sur
l’activité des entreprises demande une évaluation des
risques des menaces externes et son incorporation dans le
processus de gestion des risques de l’entreprise. La
gestion des risques de la sécurité IT devrait donc définir
les principales vulnérabilités de l’organisation, leur
prévalence et leur impact.
Réévaluer les actifs de sécurité IT
L’objectif principal de la réévaluation des
actifs est de diminuer l’impact des réductions budgétaires
sur les coûts d’exploitation.
L’ensemble
de solutions disparates déployées au fil des années dans
l’organisation - telles que celles dédiées au pare-feu, à
l’antivirus, au VPN, et plus récemment aux DDoS ou au
support IPv6 - impose souvent un coût disproportionné en
matière d’opérations et de maintenance par rapport à ce
qu’il fournit. Une réévaluation des actifs de la sécurité
IT permet de :
* Lister ces
actifs de sécurité et déterminer leur fonction spécifique
ainsi que leur valeur,
* Déterminer les
besoins de sécurité actuels et des 3 prochaines années et
si les actifs actuels répondent à ces besoins,
* Évaluer le
coût de la solution d’origine, faire la projection des
coûts annuels de maintenance & opérationnels, et
comparer ces coûts par rapport aux nouvelles générations
de produits offrant la même fonction,
* Déterminer les
coûts de transition annuels.
Déployer des plateformes évolutives
Parce
qu’il est difficile de correctement prévoir la croissance
des besoins, les organisations IT compensent souvent en
surestimant ces besoins, ce qui, bien sûr, coûte. Il est
plus rentable de déployer simplement une plateforme
évolutive − qui peut être mise à jour sans aucun
changement majeur en termes de technologie ou de
compétences − dès le début.
Rééquilibrer l’équation interne vs. Cloud
Le cloud
computing peut être considéré comme un principe essentiel
de l’austérité. Cependant, le point principal qui empêche un
véritable raz de marée du cloud est la sécurité, et à
raison. Par conséquent, il y a un équilibre à trouver
entre les avantages économiques et opérationnels du cloud
d’une part, et son manque de sécurité et de capacité
d’audit d’autre part. Dans un programme d’austérité IT,
l’équation interne versus cloud doit être refaite.
L’internalisation de la gestion de l’ensemble des
fonctions IT, à l’exception des fonctions courantes,
pourrait s’avérer être une option plus sûre et flexible.
Consolidation technologique et rationalisation
du fournisseur
L’évaluation
d’un fournisseur doit se faire en termes de vision, de
technologie et de processus – avec un objectif
d’austérité. D’un point de vue technologique, la
consolidation des fonctions de sécurité au sein d’une même
plateforme permet d’améliorer la performance et la
gestion. Lorsque ces fonctions de sécurité ne peuvent pas
être déployées dans une seule appliance, il est important
d’avoir une interface utilisateur cohérente et un modèle
sur les flux d’activités pour permettre une réduction des
coûts. L’ajout d’une solution de reporting et de gestion
centralisée à l’échelle de l’entreprise peut aussi
permettre davantage d’économies opérationnelles.
En
outre, les fonctions de sécurité doivent couvrir tous les
domaines de l’IT, depuis les réseaux et autres actifs
filaires/sans fil aux bases de données, applications web
et systèmes de messageries. De même, elles devraient
permettre un nombre maximal de processus de base en
matière de gestion de sécurité IT.
La
rationalisation des fournisseurs permet donc de couvrir un
maximum de domaines et de processus en matière de gestion
de la sécurité IT avec un minimum de fournisseurs
technologiques. Pour répondre aux futurs besoins à moindre
coûts, les fournisseurs et partenaires doivent également
être capables d’implémenter et de supporter correctement
les opérations globales d’une entreprise.
En conclusion, même si la pression sur la gestion de la sécurité IT n'est pas encore à son maximum, les principaux symptômes et indicateurs de l'écosystème de la sécurité informatique rendent sans aucun doute nécessaire la mise en place immédiate d’un programme de rationalisation de sécurité IT, afin d’éviter une austérité douloureuse.
Ce programme est une voie à suivre.