Sécurité et gestion des risques : les 6 tendances à suivre de près
Les violations de données sensibles sont aujourd’hui monnaie courante, et entraînent des pertes massives, tant financière qu’en termes de réputation. Les responsables de la sécurité et de la gestion des risques (SGR) doivent désormais maîtriser tous les paramètres de leur écosystème.
La sécurité, considérée hier comme une composante ordinaire de tout SI d’entreprise, est devenue une fonction clé dont dépend étroitement l’efficacité d’une organisation. Un changement de paradigme qui a renforcé le rôle des responsables de la sécurité et de la gestion des risques (SGR), lesquels ont la lourde tâche de protéger leur organisation des cyberattaques préjudiciables et du durcissement des règlements.
En exploitant correctement les tendances émergentes et en construisant un programme de sécurité efficace, les responsables SGR peuvent protéger leur entreprise et accroître leur influence. Voici six tendances vouées à rebattre les cartes dans le domaine de la sécurité.
Tendance No 1 : la sécurité sous le feu des projecteurs
Les violations de sécurité menacent les postes des dirigeants et coûtent aux organisations des millions d’euros, comme l’ont démontré Equifax et Maersk. Raison de plus pour les chefs d’entreprise et autres cadres d’observer d’encore plus près les activités de leur service informatique. Les responsables SGR doivent capitaliser sur ce regain d’attention et travailler en étroite collaboration avec les différents acteurs de l’organisation pour que les décisions d’ordre commercial s’accommodent de la stratégie de protection mise en place. C’est aussi l’occasion idéale de pallier aux manques de compétences et de mettre l’accent sur la formation des équipes internes chargées de la sécurité.
Tendance No 2 : la législation, vectrice de changement
La multiplication des violations de données contraint les entreprises à respecter un cadre juridique et réglementaire de plus en plus complexe, à l’image du règlement général sur la protection des données (RGPD) récemment adopté par l’Union européenne.
Les données constituent à la fois un atout et une responsabilité. Les projets commerciaux qui reposent sur le digital doivent rechercher des solutions novatrices pour limiter les coûts et les éventuelles responsabilités. Les grandes entreprises cherchent dorénavant à convertir ces obligations de mise en conformité en générateur d’opportunités commerciales. Les responsables SGR doivent convaincre leur PDG que la protection des données, si elle a un coût et présente des risques, peut aussi devenir un facteur de différenciation.
Tendance No 3 : la sécurité migre vers le cloud
Les éditeurs de logiciels de sécurité B2B peinent à répondre aux besoins de maintenance des solutions existantes. Les produits de sécurité reposant sur le cloud offrent bien plus d’agilité que ceux déployés sur site et permettent de gagner du temps lors de la mise en place de nouveaux services et méthodes de détection.
Cependant, tous les services de sécurité en mode cloud ne se valent pas. Exploiter le cloud ne se résume pas à déplacer des serveurs de gestion existants vers un espace virtualisé. Les responsables SGR doivent rechercher des solutions permettant de tirer pleinement parti de la force de frappe du cloud, du recours accru à la télémétrie, de la montée en compétences des effectifs grâce à la technologie, du machine learning (ML), des accès reposant sur des API, et des autres services et produits qui rompent avec le statu quo.
Tendance No 4 : le machine learning en gardien du temple
D’ici 2025, le ML sera pleinement intégré aux pratiques de sécurité et compensera en partie les manques de compétences et de ressources humaines. En son état actuel, le ML est avant tout utile par sa capacité à résoudre des ensembles de problèmes bien définis, comme la classification des fichiers exécutables. L’Homme et les machines se complètent et sont capables de décupler les capacités de l’autre. Le ML sollicite l’Homme pour dissiper les incertitudes, et aide ce dernier en lui fournissant des informations exploitables.
Aujourd’hui, il est difficile de faire la différence entre le marketing et un ML savamment orchestré. Les responsables SGR doivent réfléchir à la façon dont l’intelligence artificielle (IA) peut améliorer leur produit tant en termes d’efficacité que de respect des obligations administratives. Si le ML repose sur le concours de l’Homme, reste à savoir qui a vocation à assurer cette supervision.
Tendance No 5 : l’origine prévaut sur le prix
La décision récente du gouvernement américain d’interdire les logiciels de sécurité d’origine russe et les smartphones venus de Chine n’est qu’une illustration de plus de la défiance croissante des grandes puissances mondiales dans le cyberespace. Les entreprises qui travaillent avec des agences gouvernementales doivent être particulièrement vigilantes aux contraintes géopolitiques afférentes à leurs relations commerciales en amont et en aval. Les responsables SGR doivent commencer à tenir compte des risques géopolitiques dans toutes les décisions d’achat de logiciels, de matériel et de services, et envisager de recourir à des fournisseurs locaux si le besoin s’en fait sentir.
Tendance No 6 : la consolidation du pouvoir digital
Conséquence d’une centralisation accrue, le pouvoir digital appartient aujourd’hui à une poignée de décideurs. La confiance digitale a été consolidée et confiée à un cercle fermé composé d’instituts de certification et de fournisseurs de domaines et de services de messagerie, ce qui n’est pas sans susciter quelques inquiétudes sur le plan de la sécurité. En effet, en favorisant l’émergence de monopoles et de monocultures, la centralisation accroît les risques de disruption et d’effets indésirables.
Ceci explique l’essor des projets de décentralisation à l’image de la blockchain ou de l’edge computing, qui fait migrer les ressources informatiques en dehors des serveurs centralisés où elles étaient jusqu’alors hébergées. Ces initiatives décentralisatrices souhaitent offrir aux utilisateurs davantage de garanties en matière de disponibilité du service, de sécurité et de respect des données à caractère personnel – même si cette technologie en est encore au stade embryonnaire.