La gestion des services IT et la sécurité doivent former un duo dynamique

Depuis que l’informatique existe, la sécurité et la gestion des services IT (ITSM) ont toujours été une priorité dans nos opérations quotidiennes, une véritable mission sans fin qui sera toujours au cœur de nos stratégies et de nos programmes IT.

On constate cependant que, souvent, les opérations de sécurité et d’ITSM sont réalisées séparément, au jour le jour, en fonction des priorités et des demandes.
Or, le monde change, les cadences s’accélèrent. Avec l’évolution des technologies, il est nécessaire d’atteindre de nouveaux niveaux de coopération et de synchronisation entre les équipes, les processus, les solutions et les technologies de sécurité et d’ITSM. Examinons certaines synergies qu'il est possible de mettre en place en alignant sécurité et gestion des services IT.

Automatiser les processus ne doit pas être source de risque pour l’entreprise

L'automatisation va redessiner les opérations du service IT au cours des 5 à 10 années à venir, comme peu d'autres facteurs peuvent le faire. Au cours de cette transformation, qui nous fera passer d'une IT par force brute et hautement manuelle à une IT automatisée, nous apprendrons que les différentes composantes de l'IT ne peuvent pas fonctionner indépendamment.
Par exemple, en ITSM, nous ne pouvons pas automatiser le processus d'approbation des changements sans intégrer les contrôles de sécurité appropriés. Il serait sinon impossible de garantir que nous ne mettons pas le système en danger en modifiant l'infrastructure IT. C’est d’autant plus vrai face à la multiplication des cybermenaces. Pour aller plus loin, nos processus automatisés doivent également intégrer les meilleures pratiques en vigueur, notamment l'ITIL, Agile et DevOps, entre autres.

Une automatisation correctement pensée est capable de tout changer dans l’IT, jusqu’à la façon dont nous travaillons au quotidien. Mais cela ne doit pas être au prix d’une augmentation des risques pour l’entreprise.

Les catalogues de service impliquent de nombreux processus de sécurité

Tout le monde aime les catalogues de services, quel défaut pourrait-on leur trouver ? Un bon catalogue permet d’accéder rapidement et facilement à un service, et on comprend aisément pourquoi la DSI va de plus en plus y faire appel. Pourtant, là encore, il ne faut pas oublier qu'un service sans pratiques de sécurité adaptées n'est plus acceptable.
Plus l’accès aux biens et services IT d’un catalogue est large, plus il est important d’y appliquer le bon niveau de sécurité. Voilà encore une situation dans laquelle l'équipe ITSM doit collaborer étroitement avec l'équipe sécurité. Ensemble, elles peuvent garantir que les services IT sont qualitatifs et rapidement accessibles, sans pour autant augmenter les risques de sécurité pour l’entreprise.

L'une des demandes les plus courantes du catalogue de service est l'arrivée d'un nouveau collaborateur dans l'entreprise. Ce processus impacte un grand nombre de systèmes, et inclut la fourniture d'un ordinateur de bureau ou d’un portable, ainsi qu'un téléphone mobile fourni par l'entreprise. L'engagement de l'équipe Sécurité dans l'ensemble de ce processus est vital.

Le self-service doit être agile et évolutif, mais aussi ultra sécurisé

Semblable aux catalogues de services mais impliquant une plus grande variété d'applications, le self-service est un modèle de plus en plus populaire auprès des DSI et des entreprises. Il offre un accès aux ressources et services informatiques tout à la fois rapide, facile, en tous temps et en tous lieux.
De plus, on constate fréquemment que ce qui est disponible aujourd'hui pour l'IT est susceptible d'être adopté par le reste de l'entreprise. C'est logique, si l'on considère que l'ordre du jour du service IT et celui de l'entreprise sont de plus en plus souvent alignés l'un sur l'autre. Le très précieux partenariat entre IT et entreprise se crée sous nos yeux.

Nous avons de la chance de participer à la transformation de l'IT, qui vise à mettre en place une IT plus proactive et plus stratégique. Bien sûr, cela implique de lourdes responsabilités. Par exemple, il ne suffit pas que l'équipe sécurité s'engage dans toutes les offres en self-service : il faut mettre en place un modèle de sécurité de plus en plus complexe et agile, qui ne compromet pas la flexibilité de nos modèles de self-service, tout en garantissant à l'entreprise une sécurité sans égal.

Les nouveaux accès mobiles doivent être supervisés par la sécurité

Les collaborateurs de l’entreprise exploitent aujourd’hui un nombre toujours croissant de terminaux mobiles – de ceux qui leur offrent une grande variété de fonctionnalités et des innovations en matière d'expérience utilisateur. La mobilité a enregistré d’importants progrès ces 10 dernières années en termes de facilité d'utilisation et de richesse fonctionnelle, peut-être même plus que tous les autres marchés des technologies.

Aujourd'hui, les entreprises tirent avantage de ces progrès technologiques, qu’ils soient destinés aux professionnels ou au grand public. Utilisés dans l'entreprise, les terminaux mobiles accèdent désormais à ses ressources et à ses biens 24h/24 et pratiquement partout dans le monde.
Et ce n'est pas un phénomène de mode... la puissance du "partout, tout le temps" est faite pour durer. On peut le comprendre, car elle nous rend agiles et adaptables. Mais elle crée également un nombre important de nouveaux problèmes de sécurité. Là encore, il faut que l'équipe Sécurité soit impliquée, en raison de la multiplication des nouveaux modèles d'accès et des processus métier qui utilisent ces terminaux mobiles.

Naturellement, nous envisageons le problème en pensant aux terminaux que nous connaissons aujourd'hui, comme les smartphones et les tablettes. Mais la question devient encore plus brûlante avec les nouveaux terminaux susceptibles d'arriver sur le marché dans les années à venir, qui iront beaucoup plus loin que nos dispositifs actuels.

La frontière est très mince entre impact positif, et création de nouveaux risques et menaces pour l'entreprise. Si l'on procède correctement, l'unification des efforts et de la stratégie des équipes Sécurité et ITSM donnera naissance à des modèles performants d'automatisation, de catalogue de services, de self-service et de mobilité. Par ricochet, cela nous permettra d'accélérer la transformation de l'IT pour en faire une force d'innovation et de rapidité capable de faire avancer l'entreprise.