Cybersécurité : une nécessité de se réinventer pour protéger son entreprise
Face à des enjeux considérables qui ne sont pas circonscrits au seul domaine financier, les responsables de la sécurité doivent renverser la table.
La transformation digitale est la priorité des entreprises. Les dépenses mondiales se chiffrent désormais en milliers de milliards de dollars. Par ailleurs et même si les dépenses en matière de sécurité augmentent également, une prise de conscience stratégique est nécessaire pour éviter le syndrome du colosse aux pieds d’argile. Face à des enjeux considérables qui ne sont pas circonscrits au seul domaine financier, les responsables de la sécurité doivent renverser la table.Le paysage mondial de la sécurité évolue constamment. Les attaques sont de plus en plus sophistiquées et protéiformes. Avec la démocratisation des objets connectés, les dangers se multiplient et la surface d’exposition à ces attaques s’élargie, mettant en péril le développement de nombreux projets : selon un sondage d’OpinionWay par exemple, 40% des Français se refusant à utiliser un véhicule autonome invoquent pour une des principales raisons la peur d’un piratage.
Le numérique redéfinit entièrement les pratiques, dans l’entreprise comme dans la sphère privée. Le smartphone et les applications mobiles sont devenus le principal point d’entrée dans la vie de chaque individu. Et leur enracinement dans nos vies professionnelles et personnelles ne cesse de croître à mesure que de nouveaux usages apparaissent (authentification, paiement mobile, etc.). Les données et systèmes critiques forment désormais le cœur des activités des entreprises et drainent une grande partie de leurs investissements numériques.
Parallèlement, les réglementations ne cessent de se renforcer – qu’elles soient sectorielles, régionales ou locales. Par exemple, RGDP, la réglementation européenne sur la protection des données personnelles encourage les entreprises à mettre en place des dispositifs et processus de sécurité beaucoup plus stricts et contrôlés en intégrant le principe de protection des données par design et par défaut.
Enfin, les besoins métiers s’accélèrent : on exige des services disponibles dès maintenant, pas dans un mois. Mais cette accélération n’est pas alignée avec les ressources existantes dédiées à la gestion de la sécurité. Il ne s’agit pas d’un problème lié aux ressources humaines (même si la carence en compétences spécialisées est réelle) : les systèmes eux-mêmes ne suivent plus le rythme de cette accélération.
Redéfinir les stratégies de sécuritéL’ensemble de ces facteurs, combinés à la multiplication des vecteurs d’attaque – smartphone, laptop, tablettes, applications, réseau, mails, etc. – impliquent la redéfinition des stratégies de sécurité de l’entreprise. Si dans le passé, celles-ci reposaient sur une approche en silos – des fonctions de sécurité placées dans chaque appareil et d’autres dans le réseau – ce modèle vole en éclat sous l’effet de la transformation numérique.
La lutte contre les cyberattaques réclame plus d’automatisation. Mais surtout, la sécurité doit être pensée dès le développement de l’architecture technique et ne peut être figée. Du fait des contraintes modernes de time-to-market, de proactivité et d’adaptation rapide aux besoins des applications, elle est désormais à géométrie variable. La sécurité devient donc un challenge pour l’entreprise, qui ne peut réinventer la roue à chaque nouveau projet.
Une réflexion fondamentale doit être initiée sur la façon dont la sécurité est produite et mise à disposition des utilisateurs. A défaut, l’entreprise se retrouvera éternellement dans une position réactive, face à des cyberattaques toujours plus dangereuses et coûteuses (en plus des dommages sur la notoriété et la perte de confiance des consommateurs, l’impact financier est accru par les sanctions décrétées par les autorités, les pertes subies et les actions prises pour y remédier).
Le comité exécutif doit bien-sûr se positionner en première ligne. Accroître, même considérablement, les dépenses de sécurité n’est pas la bonne solution. Dans le contexte de l’accélération numérique, il lui faut se concentrer sur le modèle plutôt que sur les moyens. Le CEO, lui-même responsable légal de l’entreprise, doit fédérer cette réflexion en engageant les métiers et les responsables de la sécurité à collaborer à la définition de cette nouvelle stratégie.
Si la transformation numérique est une nécessité devenue universelle, elle ne peut réussir sans la transformation des approches de sécurité. Une sécurité plus efficace, plus agile, plus profondément intégrée (« intrinsèque » serais-je tenté d’écrire) est essentielle pour que le numérique, qui est à la base de nombreux progrès de notre société – dans la santé, la protection de l’environnement, l’économie du partage ou l’économie circulaire, la ville intelligente, l’e-administration, etc. – ne soit pas un colosse aux pieds d’argile. En confiant au numérique la quasi-totalité de nos activités, nous faisons un choix structurant qui transforme notre mode de vie, notre façon de travailler et la façon dont nos sociétés fonctionnent. Sans tomber dans les dystopies très en vogue dernièrement, il nous faut nous convaincre du caractère éminemment essentiel de la sécurité. Sans elle, nous n’avons aucune chance de matérialiser les promesses véhiculées par le digital. Il serait dommage de dire « Adieu veau, vache, cochon, couvée numériques » !...