Réseaux et sécurité, quand l'union sacrée n'est qu'un leurre

Une étude récente a mis en évidence un schisme potentiellement dommageable entre les professionnels du réseau et de la sécurité. Qu'en est-il exactement ?

Entre 2020 et 2023, les projets de transformation numérique sont en passe de générer un budget représentant un total de 6,8 milliards de dollars à l'échelle mondiale, selon IDC. La transformation numérique est un terme qui peut s'appliquer à un large éventail de projets, mais tous ces projets de transformation reposent sur la nécessité de repenser les architectures de réseau et de sécurité afin de prendre en charge de nouveaux flux de travail et de gérer de nouveaux risques. Mais une étude menée par Censuswide a mis en évidence un schisme potentiellement dommageable entre les professionnels du réseau et de la sécurité, qui pourrait empêcher les entreprises de tirer les bénéfices qu'elles espèrent de la transformation numérique. 

54% des DSI européens estiment que le manque de collaboration entre les équipes spécialisées empêche leur entreprise de tirer parti des avantages de la transformation numérique.  En fait, ils nous disent que si les équipes internes ne peuvent pas collaborer efficacement, les 6,8 milliards de dollars dépensés pour la transformation numérique pourraient être gaspillés et nous ne parviendrons pas à mettre en place des architectures d'avenir telles que le Secure Access Service Edge (SASE), qui repose sur la convergence des réseaux et de la sécurité.

Au-delà des DSI, l'étude a également sondé séparément les professionnels du réseau et les professionnels de la sécurité dans le but de comprendre les relations que chacun entretient avec l'autre. Si les DSI s'inquiètent d'une collaboration inefficace entre les équipes, dans quelle mesure ces deux groupes cruciaux pour la transformation numérique travaillent-ils ensemble ?

Les nouvelles ne sont pas bonnes. Alors que 45% des équipes européennes de sécurité et de réseau font partie du même grand groupe et rendent compte au même patron, 43% des participants européens à l'étude ont déclaré que "les équipes de sécurité et de réseau ne travaillent pas vraiment ensemble".  Plus accablant encore, 44% des professionnels de la sécurité et des réseaux de la zone décrivent la relation entre les deux équipes en termes très négatifs, tels que "conflictuelle", "dysfonctionnelle", "glaciale" ou "non pertinente".

Quelle est donc l'origine de ces problèmes ?  Eh bien, l'étude montre que ce n'est pas que les deux équipes travaillent sur des objectifs différents.  Les deux groupes ont choisi les trois mêmes priorités pour 2021 : soutenir l'augmentation de la productivité de l'entreprise dans son ensemble, l'expansion de l'infrastructure pour soutenir la croissance de l'entreprise, et l'augmentation de la visibilité et du contrôle.

Le problème n'est pas non plus un manque d'occasions de travailler ensemble.  Les projets de transformation numérique sont menés par des professionnels des réseaux et de la sécurité (85% des participants à l'étude travaillent actuellement sur un projet de transformation numérique ou viennent de le terminer), et plus de la moitié de ces projets impliquent une transformation des réseaux et de la sécurité. Le même nombre (56%) a un superviseur au sein des équipes de réseau et de sécurité. 

Et l'idéologie sous-jacente à la collaboration ne pose pas de problème.  82% des deux groupes de répondants ont déclaré que la sécurité fait partie de la responsabilité de l'équipe réseau, répondant spécifiquement que "la sécurité est intégrée dans l'architecture du réseau".

Alors où se situe le problème ?

Il y a vingt ans, la sécurité était intégrée à l'organisation des réseaux, mais depuis lors, nous avons assisté à la création progressive d'une équipe spécialisée dans la sécurité, qui a atteint son apogée avec la création du rôle de CISO.  Alors que les RSSI avaient tendance à commencer par rendre compte au DSI, il n'a pas fallu longtemps pour que l'ampleur du risque qu'ils géraient leur permette de s'asseoir à la table du conseil d'administration, ou du moins d'avoir l'occasion d'interagir avec le C-suite non technique. La nouvelle visibilité du CISO a permis des désaccords avec le DSI et les équipes réseau, et nous avons vu les équipes commencer à adopter des approches très différentes pour atteindre les objectifs de l'entreprise.  Mais les RSSI et les DSI ne sont pas la seule raison de la division entre le réseau et la sécurité - ni même la raison principale.

Le rôle de la sécurité est de repérer les problèmes et de les résoudre de manière coordonnée.  Et les problèmes qu'ils détectent se situent très souvent dans les architectures de réseau.  C'est la nature de ce rôle, mais cela crée une friction évidente lorsque la sécurité peut être considérée comme un opposant critique.  Si la sécurité est responsable de la stratégie, elle s'appuie sur les équipes chargées du réseau, de l'infrastructure et des applications pour exécuter et atteindre les objectifs de l'entreprise. Les équipes de sécurité peuvent choisir un outil, mais ce sont les équipes réseau et infrastructure qui le déploient et l'exécutent.

Et comment le régler ?

Au sein de la communauté informatique au sens large, le réseau et la sécurité ne sont pas les seuls à s'affronter (ou à s'ignorer).  Nous constatons souvent les mêmes problèmes entre les équipes de développement, les équipes d'exploitation informatique, les applications et l'infrastructure, et nous pouvons donc tirer des leçons de la façon dont les autres ont procédé pour résoudre leurs différends.

Le DevOps a été créé pour réunir une équipe transversale possédant toutes les compétences et les personnes nécessaires à la construction, au déploiement et à l'exploitation d'un produit ou d'un logiciel, et il est assez bien accepté que le fait de réunir les équipes de cette manière a apporté des avantages significatifs.  Aujourd'hui, nous commençons à voir que ces leçons ont été tirées par l'équipe de sécurité également.  Nous commençons à voir SecOps (sécurité + opérations informatiques) et DevSecOps (où la sécurité des applications et de l'infrastructure est conçue dès le départ) comme des équipes interfonctionnelles qui s'engagent à unifier les priorités et à intégrer la sécurité dans les flux de travail de développement et d'exploitation.

Ces dernières années, nous avons également assisté à la formation d'équipes spécialisées et agiles au sein des entreprises, chargées de relever des défis commerciaux spécifiques.  Cette approche d'équipe interfonctionnelle a été adoptée par de nombreuses équipes de vente et de marketing, ce qui a souvent conduit l'informatique à adopter le même modèle, puisque nous travaillons pour soutenir l'activité commerciale.  L'année dernière, COVID-19 a donné à de nombreuses personnes l'occasion de repenser les lignes organisationnelles, en utilisant des Tiger Teams pour relever les défis de l'habilitation et de la sécurisation des travailleurs à distance. Dans ces équipes, les participants ont reçu pour mission de permettre le travail à distance aussi rapidement que possible et de ne pas s'embarrasser d'interminables approbations pour des choses comme le budget. Les équipes ont été habilitées par la direction à faire en sorte que cela se produise et nous avons vu les cloisonnements traditionnels s'effondrer momentanément.

Ces équipes interfonctionnelles concertées sont sans aucun doute le meilleur moyen de combler le fossé qui sépare le réseau de la sécurité.  L'une des manifestations quotidiennes les plus irritantes du conflit entre le réseau et la sécurité est le spectacle des NOC et SOC (centres d'opérations réseau et sécurité) qui se lancent des billets.  Ces tickets rebondissent dans tous les sens sans qu'il y ait de motivation à collaborer pour s'attaquer à la cause profonde des problèmes.  La convergence de ces deux entités en un centre d'opérations réseau et sécurité (SNOC) est un grand pas dans la bonne direction.

Des équipes dédiées, interfonctionnelles et fondées sur les compétences réduisent la nécessité de faire des compromis qui abaissent les normes, et la responsabilisation des dirigeants est la clé du succès.  Les équipes doivent se concentrer sur les résultats plutôt que sur l'activité, en créant une appropriation des objectifs partagés et des résultats clés. Un exemple de ROI pourrait être le suivant : "Améliorer la sensibilisation de mon personnel à la sécurité, mesurée par une réduction de 20% du nombre d'employés victimes de tentatives d’hameçonnage simulées". S'il est toujours important de veiller à ce que le travail soit visible à l'intérieur et à l'extérieur de l'équipe, ces structures rétablissent naturellement la relation entre le réseau et la sécurité.

On a laissé la relation dysfonctionnelle entre le réseau et la sécurité échapper à tout contrôle, mais les enjeux sont trop importants pour laisser cette situation perdurer.  La collaboration est essentielle si une entreprise veut optimiser la sécurité et la gestion des risques ainsi que l'expérience et la productivité des utilisateurs.  En définitive, sans une relation de travail constructive et efficace, les sommes considérables investies dans la transformation numérique risquent d'être gaspillées. Il existe des précédents pour réparer les choses, et il est temps que les deux parties soient réunies dans la poursuite d'objectifs communs. Réunir les équipes réseau et sécurité grâce à une collaboration efficace et à des structures remodelées permettra aux entreprises d'entreprendre les transformations du réseau et de la sécurité qui sont essentielles à la réussite de la transformation numérique.