Les coûts de l'évaluation proactive des risques

S'intéresser à l'économie de la transformation nécessite de chiffrer l'évolution du réseau et de sa sécurité en observant quels chiffres doivent alimenter ces calculs et mesures, mais également étudier comment la performance, la flexibilité et l'évolutivité sont des clés pour cette transformation. Il devient maintenant critique pour les entreprises de dessiner les contours des futurs réseaux et programmes de sécurité associés afin de favoriser cette transformation.

Favoriser la croissance du chiffre d'affaires tout en améliorant les résultats grâce à des gains d'efficacité opérationnelle

Si l’on demande à un conseil d'administration quel est son objectif ultime en matière de transformation numérique, il répondrait à coup sûr qu’il s'agit d'améliorer la croissance du chiffre d'affaires tout en appliquant des mesures de rentabilité opérationnelle pour maintenir un résultat net sain. La transformation s'accompagne de nouveaux coûts, mais à mesure que les équipes de projet acquièrent de l'expérience en matière de transformation numérique, les gains d'efficacité économique augmentent.

Cette même approche s'applique à la transformation des réseaux et de la sécurité. Nous avons maintenant des entreprises qui ont suivi les mêmes principes de conception et qui ont déplacé, ou sont en train de déplacer, leurs technologies et contrôles de sécurité vers le cloud. Ces compétences sont très demandées car de plus en plus d'entreprises réalisent la valeur de cette transformation. Cette évolution permet également à l'entreprise de simplifier ses projections budgétaires et de se concentrer sur la gestion des dépenses en réduisant ses coûts d'investissement imprévisibles et en adoptant un modèle d'abonnement OPEX prévisible qui favorise la rentabilité opérationnelle. Pour résumer, tout le monde y gagne. Non seulement cette situation est plus simple à prévoir, mais à mesure que la sécurité deviendra une industrie de services, elle favorisera la réduction des coûts et offrira des possibilités de consolidation supplémentaires.

L'époque où l'on acheminait le trafic par l'Internet public et par une myriade d’appliances est révolue. Tous tentent d'inspecter et de décoder le trafic, l'équipe devant effectuer des examens réguliers pour chaque équipement afin d'évaluer son retour sur investissement particulier, ainsi que son coût total de possession, et de poser la question évidente : « Avons-nous encore besoin de cela et existe-t-il une meilleure option ? »

Aujourd'hui, toutes les entreprises ont la possibilité d'utiliser des microservices basés sur le cloud lorsque le besoin s'en fait sentir, sans avoir à effectuer de coûteux examens de la conception et de l'architecture. Pour faire une analogie, cela revient à réserver un voyage international et à utiliser une douzaine de compagnies aériennes et d'aéroports pour se rendre à notre destination.  Chaque correspondance de vol nécessite un nouveau contrôle de sécurité où nous et nos bagages doivent être scannés. Bien entendu, nous allons payer un prix très élevé pour cela.  Si l’on a le choix, tout le monde optera plutôt pour une option directe rentable, avec une sécurité identique ou supérieure appliquée à la demande. C'est ce que devrait être la transformation des réseaux et de la sécurité, simple, rapide et sûre, sans retards inutiles.

Une flexibilité qui dépasse les limites de l'informatique

Alors que nous transformons nos réseaux et notre sécurité et que nous transférons nos contrôles de sécurité vers le cloud, nous devons évaluer notre façon de penser en matière de prévision et de budget. Sécuriser un utilisateur dans notre environnement est une dépense généralement évaluée pour chaque exercice budgétaire. Si nous avons 20 000 employés, il est évident que cela va coûter plus cher et nécessiter plus de ressources que de sécuriser 2 000 employés. Le problème avec les entreprises est qu'elles ne peuvent pas prévoir avec précision à quoi ressemblera leur effectif dans les 3 à 5 ans à venir. Le défi est celui des fusions et acquisitions, un agent de changement qui se produit pour la plupart des entreprises et qui bouleverse toute stratégie informatique et de sécurité.  Dans le cas des fusions et acquisitions, la prévision des coûts d'intégration implique généralement de réfléchir à un nouveau matériel ou même à un matériel de remplacement pour s'adapter aux nouvelles exigences de l'entreprise. La planification et la mise en œuvre de ce type de défis peuvent prendre des mois et ralentissent généralement l'entreprise à un moment critique.  Cependant, à mesure que les organisations adoptent et utilisent le cloud, nous pouvons systématiquement utiliser la flexibilité de celui-ci pour évoluer si nécessaire et sans compromis.

L'ajout de 5 000 employés supplémentaires à une passerelle Web sécurisée de nouvelle génération (Next Gen Secure Web Gateway - NG SWG) basée sur le cloud est aussi simple que la mise à jour de la licence. Pas de nouveau matériel, pas de transport de matériel vers de nouveaux sites, pas de mise en rack ni d'empilage, et pas d'achat d'espace dans les armoires.  Cette flexibilité en dehors des limites de l'informatique traditionnelle ne doit pas être sous-estimée.

Alors que nous avons maintenant surmonté certains des défis les plus difficiles du passé et simplifié les procédures d’onboarding, nous devons réfléchir à d'autres possibilités de consolidation. Je pense que nous pouvons tous convenir que l'entreprise moyenne a acquis au fil des ans de nombreuses technologies et solutions qui sont prêtes à être remplacées dans un monde en nuage. La première déclaration que j'entends de la part de la plupart des RSSI lorsqu'ils discutent de la transformation de la sécurité est : "Je dois consolider". Cette consolidation des technologies n'est pas une tâche facile, mais elle peut être facilitée par l'utilisation de concepts tels que Secure Access Service Edge (SASE) pour identifier les capacités clés nécessaires pour soutenir le futur écosystème de l'entreprise.

L'un des éléments essentiels de la future architecture de la plupart des entreprises est l'accent mis sur les éléments suivants, idéalement sur un nombre de plateformes aussi réduit que possible avec des intégrations d'API et un réseau mondial rapide et performant permettant d'accéder aux applications et à l'infrastructure de l'entreprise.

  • Identité et accès au réseau Zero Trust (IAM & ZTNA)
  • Sécurité du web et du cloud/gateway (SWG & CASB)
  • Protection des données (Data Classification & DLP)
  • Protection contre les menaces (Anti-Malware, Sandboxing, Browser Isolation)
  • Protection des endpoints (NG-AV, EDR)
  • Automatisation et orchestration (SIEM & SOAR)

Alors que nous évaluons la réduction des coûts et ce nouveau modèle conceptuel, nous devons continuer à nous assurer que nous constatons une valeur, des avantages et une réduction globale des risques pour nos entreprises tout en offrant la meilleure connectivité et la meilleure flexibilité à notre personnel.  Après tout, un budget de sécurité doit toujours être adapté à la tolérance au risque de l'entreprise.

Valeur commerciale, avantages et réduction des risques

Lorsque nous examinons la valeur, les avantages et, en fin de compte, les possibilités de réduction des risques et de meilleure efficacité des contrôles, il est souvent difficile d'arriver à une évaluation réaliste des risques. Il existe différentes façons d'évaluer ces risques et il y a certainement de nombreux débats à ce sujet. Bruce Schneier a écrit un excellent article sur ce même sujet pour la CSO en septembre 2008, qui a relativement bien vieilli. En ce qui concerne l'approche traditionnelle consistant à attribuer une valeur monétaire au risque, il affirme : "La méthodologie classique est appelée espérance de perte annualisée (EPA), et elle est simple. Elle consiste à calculer le coût d'un incident de sécurité en termes de biens matériels, comme le temps et l'argent, et de biens immatériels, comme la réputation et l'avantage concurrentiel. Multipliez cela par le risque que l'incident se produise dans un an. Cela vous indique combien vous devriez dépenser pour atténuer le risque". 

Cette approche "probabilité x impact" a été la méthode que nous avons tous essayé de mettre en œuvre d'une façon ou d'une autre pour obtenir un semblant d'indicateur financier du coût des risques que nous avons identifiés et que nous essayons de gérer. Le problème, comme Bruce le souligne également, est que les données qui résultent de ces calculs nous sont défavorables lorsque nous nous adressons à des chefs d'entreprise, et sont obscurcies par le manque de données fiables que nous avons en entrée. 

Par exemple, si le coût calculé d'un risque donné est de 40 000 dollars par an et que le coût total de propriété des personnes, du processus et de la technologie visant à mieux gérer ou à réduire ce risque est de 65 000 dollars par an, imaginons ce que le directeur financier voudra savoir. Quelle est la précision de nos données sur les facteurs qui entrent dans la mesure de l'impact (perte réelle, réputation, etc.), et quelle est la précision de nos données pour déterminer la probabilité réelle ? Et, même si nous sommes tous d'accord sur ces chiffres, la façon dont le directeur financier interprète et choisit de nous permettre d'investir en fin de compte peut évidemment être influencée par ces facteurs, et bien d'autres encore. En parlant avec de nombreux acteurs du secteur, ainsi qu'en nous basant sur nos propres expériences en tant que praticiens, il est souvent difficile de combler le fossé de compréhension. Si l’on ne comprend pas les véritables niveaux de tolérance au risque et les perspectives de notre organisation, nous pourrions vraiment mener une bataille difficile. 

Lorsque l'on envisage la gestion des risques, il est essentiel de déterminer l'efficacité avec laquelle les risques sont gérés. Du point de vue de la cybersécurité, il arrive souvent que les entreprises alignent leurs politiques et leurs contrôles sur des référentiels standardisés qui sont souvent audités par des tiers chaque année pour déterminer leur maturité, leur alignement et leurs progrès généraux. Les équipes de sécurité sont alors souvent obligées d'accorder une priorité réactive à un grand nombre de leurs initiatives après l'évaluation pour donner suite aux conclusions. 

En évaluant l'efficacité des coûts opérationnels, la flexibilité, la réduction des coûts, la valeur commerciale et une meilleure gestion des risques en tant que pratique, nous visons à travailler dans le cadre d'un modèle qui informe et soutient en permanence les ajustements proactifs de nos contrôles afin de répondre à un contexte de coûts, d'avantages commerciaux et de risques en constante évolution.