Le point de rupture : pourquoi la sécurité en entreprise doit évoluer
Dans le contexte de la transformation digitale, les données sont des actifs essentiels. Grâce à elles, les entreprises sont en mesure de proposer de riches expériences clients et de garder une longueur d’avance. Cependant, plus ces données prennent de la valeur, plus elles sont vulnérables.
Aujourd’hui, les entreprises déploient un nombre croissant d’applications sur toujours plus de terminaux et dans de plus en plus de régions. Malheureusement, cette approche numérique accroît leur exposition à des cyberattaques tout aussi sophistiquées.
Même si les dépenses liées à sécurité informatique ont augmenté ces dernières années (75,5 milliards de dollars en 2015), les niveaux de risques et les coûts des failles sont également en hausse. Les modèles de sécurité traditionnels ne sont donc clairement plus adaptés.
Pour réussir cette évolution en matière de sécurité, voici 8 recommandations basées sur les enseignements d’une enquête menée avec Vanson Bourne :
1. Faire de la sécurité une priorité pour la direction
Bien que leur entreprise soit sous la menace croissante de graves cyberattaques (37 % des responsables informatiques s’attendant à en subir dans les 3 prochains mois), les chefs d’entreprise ne font pas de la cyber sécurité leur priorité. Ainsi, moins d’un dirigeant sur dix en EMEA[1] (8 %) la considère comme telle.
Une des raisons est qu’ils n’ont pas conscience de l’étendue du problème. En effet, un quart des responsables informatiques (25 %) n’auraient pas fait part d’une ou de plusieurs fuites critiques de données à leur direction.
Les responsables d’entreprises et les responsables informatiques doivent communiquer davantage sur la planification et les priorités en matière de sécurité. Les dirigeants doivent en faire un sujet essentiel dans leur agenda.
2. Faire de la sécurité une priorité pour l’ensemble de l’entreprise
La sécurité doit prendre davantage d’importance au sein de l’ensemble de l’entreprise, du département informatique à la direction en passant par les employés. Pour cela, les salariés doivent savoir ce qui est attendu d’eux en matière de processus de sécurité et être informés des dangers que représente toute non-conformité à ce niveau.
3. Une responsabilité étendue
Même si l’ensemble des acteurs de l’entreprise doivent faire de la sécurité une priorité, ce sont au final, les dirigeants qui sont tenus responsables en cas d’importante fuite de données. C’est ce qu’estime près d’un tiers (30 %) des responsables informatiques et un quart (23 %) des employés en Europe.
De leur côté, les responsables informatiques doivent faire le nécessaire pour s’assurer de la protection des actifs de l’entreprise. Cependant, en pratique, tous les membres de l’entreprise doivent adopter une conduite plus responsable que ce soit dans l’utilisation par les employés de smartphones et d’applications mobiles, ou dans la compréhension que les dirigeants ont des menaces pour la sécurité.
4. Protéger tout en favorisant la mobilité
Les principales vulnérabilités viennent de l’intérieur. Pour près de la moitié (45 %) des responsables informatiques interrogés, le manque de considération de leurs employés pour les données professionnelles est une source d’inquiétude majeure.
22 % des employés déclarent ne pas avoir de scrupule à violer les politiques de sécurité de leur entreprise si cela peut leur permettre de travailler efficacement.
La clé est de mettre en place une approche de sécurité de bout en bout, afin de protéger les actifs, de l’utilisateur final aux Data Centers en passant par les postes de travail. Cette approche doit également s’étendre aux systèmes internes au Cloud.
5. L’impact des failles de sécurité peut être plus important qu’initialement prévu
Au-delà d’une possible perte de confiance des clients et de la perte de données confidentielles impactant l’activité et les revenus, le moral des troupes semble pâtir sérieusement de failles de sécurité. 45 % des responsables informatiques pourraient même envisager de quitter l’entreprise dans ce contexte.
Plutôt que de chercher à retenir ses clients et employés, ou à limiter l’impact financier d’une mauvaise réputation, il apparaît plus rentable d’investir en amont dans une stratégie de sécurité adéquate.
6. Sensibiliser les employés
Les employés férus de technologies sont plus ou moins conscients de la valeur des données. Un tiers (33 %) d’entre eux s’attache plus à protéger les données sur son mobile que celles de leur appareil professionnel.
Il est donc nécessaire de les aider à mieux comprendre que tout incident ayant un impact sur la réputation d’une entreprise peut avoir des répercussions sur la sécurité de leurs emplois.
7. Assurer la conformité à tous les niveaux de l’entreprise, sans exception
Il est de la responsabilité du département informatique de fournir les outils et services nécessaires aux employés pour que leur entreprise reste leader. Par ailleurs et pour être efficaces, les politiques de sécurité ne peuvent souffrir de la moindre exception. Or, actuellement 66 % des responsables informatiques admettent ressentir une pression de leurs dirigeants (36 %), des cadres (35 %) et des chefs de services (28 %), qui les poussent à contourner les règles en place.
Chacun, y compris au niveau des plus haut dirigeants, doit comprendre que les règles de sécurité passent même avant l’intérêt de l’entreprise. Violer les règles de sécurité, même pour un CEO, peut avoir des implications légales et sur la conformité par rapport aux régulations. Par ailleurs, tous les intervenants doivent avoir une compréhension parfaite des contraintes, pressions et limites auxquelles leurs pendants font face. Ce qui implique un contact plus régulier, une collaboration plus proche entre les départements
8. Une sécurité agile de bout en boutLes approches de sécurité actuelles ne sont pas adaptées à un monde où les cyber-menaces évoluent à un rythme plus élevé que leurs systèmes de défense.
Les applications et données des utilisateurs sont désormais présentes à des emplacements et sur des appareils toujours plus nombreux. Les anciens modèles de sécurité basés sur le renforcement du périmètre sont par conséquent devenus inefficaces. Les organisations doivent aller au-delà des approches traditionnelles et intégrer la sécurité à l’infrastructure, au data centre, aux terminaux, pour assurer une protection même contre les menaces inconnues.
Aujourd’hui,
seul un modèle de sécurité software-defined s’appuyant sur des technologies de
virtualisation de serveurs, des réseaux et du stockage peut offrir la rapidité,
l’agilité et l’automatisation dont les entreprises ont besoin.
[1] Enquête
d’Economist Intelligence Unit sur les pratiques en matière de sécurité des
données en entreprise ; 1 100 cadres d’organisations avec des
chiffres d’affaires de 500 millions à 5 milliards de dollars ont été
interrogés.