Sécurité dans les projets : valoriser une approche proactive pour une sécurité maîtrisée

Conjointement à la progression continue de la transition digitale dans presque tous les secteurs d'activité, se pose la question de l'efficacité de la sécurité au sein des projets. En proie à l'augmentation des incidents et des cyberattaques dont le nombre a été multiplié par quatre entre 2019 et 2020 en France, les entreprises ont, en effet, tout intérêt à privilégier une approche préventive de la sécurité si elles ne souhaitent pas continuer à faire les frais d'une gestion passive des risques

Security by design ou l’art d’anticiper pour ne pas subir

Initialement prévus pour automatiser certaines tâches à faible valeur ajoutée, les systèmes d’informations se sont développés au point de remplir des missions toujours plus complexes et cruciales. Leur périmètre d’action, désormais plus étendu et plus complet, les expose davantage aux incidents de sécurité et notamment aux cyberattaques. Face à ces menaces, la plupart des entreprises adoptaient, jusqu’ici, une posture réactive dans la réponse aux incidents de sécurité et une démarche passive de gestion des risques. Encore suffisante il y a encore quelques années, cette façon de procéder n’est plus en phase avec la réalité tant les conséquences sont désastreuses sur l’activité, surtout quand celle-ci se retrouve paralysée à la suite d’une attaque ou d’un incident.

C’est la raison pour laquelle, un nombre croissant d’entreprises cherchent à adopter une stratégie préventive de la sécurité ou communément appelée security by design. Une pratique qui souhaite inclure la sécurité dès la conception des outils ou le cadrage des projets. Ce type de démarche cible aussi bien la mise en place d’outils de surveillance et de veille utilisant l’intelligence artificielle que la formalisation d’une stratégie de cybersécurité efficace pour tous les projets. Cette posture préventive permet aux entreprises d’anticiper et de contrer un grand nombre d’attaques, tout étant plus agiles et réactives lorsque ces dernières sont déclarées et de passer d’une défense passive à une défense active.

Un investissement sur le long terme

Inévitablement, mettre en place une stratégie efficace de sécurité préventive représente un certain coût pour les entreprises. De la conception à l’intégration, en ajoutant l’accompagnement, la nouvelle organisation qui en découle nécessite de faire passer les ressources internes d’une position principalement réactive à un statut proactif. Il s’agit là d’un investissement conséquent pour les entreprises qui doivent tout de même avoir en tête qu’à long terme, adopter une approche préventive revient à allouer moins de ressources à la réponse aux incidents de sécurité et à la prise en compte de leurs conséquences et permet ainsi de réaliser de réelles économies. 

Pour autant, déployer une stratégie de sécurité préventive complète reste l’apanage des (très) grandes entreprises. Ces dernières ayant d’ores et déjà des DSI structurées en conséquence pour assurer cette mission. Une majorité d’entreprises vont donc chercher à externaliser l’intégration de la sécurité dans leurs projets et notamment les tâches les plus chères comme les mises à jour des outils de détection, la veille ou encore la surveillance. 

La sécurité dans les projets : un défi humain

Malgré la surveillance active voulue par la posture préventive, il n’en reste pas moins que toutes les attaques ne sont pas prévisibles et qu’il subsiste une part d’inconnue dans la gestion des risques. Dans ce type de contexte il est difficile de se passer du jugement humain qui, en s’affranchissant des paramétrages, certes efficaces, des outils utilisant l’intelligence artificielle, parvient à fournir une analyse plus fine, à même de déchiffrer ce qui ne peut l’être par des outils de détection. 

Il n’est donc pas hasardeux d’avancer que la garantie du risque zéro est illusoire. De ce fait, toute stratégie de sécurité, aussi solide soit-elle, ne doit pas négliger l’intégration des sujets relatifs à la gestion des risques et à la cybersécurité au sein de la culture d’entreprise. Un aspect qui revêt une importance capitale, d’autant plus que le nombre et la variété des vulnérabilités évoluent de pair voire plus rapidement que la digitalisation des entreprises. D’où l’importance d’instaurer un management des risques qui se veut complémentaire des mesures techniques prises en amont des projets. Cette démarche n’a pas la prétention d’être infaillible mais elle a le mérite d’impliquer l’ensemble de l’entreprise dans l’appréhension de la sécurité.