La sécurité des identités est aussi stratégique que le business pour toutes les entreprises

Prendre un certain recul d'analyse sur certains sujets clés comme la cybersécurité devrait être mieux envisagé par les entreprises aujourd'hui.

En effet, toutes les entreprises sont attaquées en permanence et selon le baromètre 2022 du CESIN, non seulement 54 % des attaques sur les PME ont réussi, mais une PME victime sur deux fait faillite dans les 18 mois qui suivent.

Générer des bénéfices est donc aussi important que protéger les systèmes d’informations de l’entreprise. Et les évolutions technologiques, avec notamment l’intégration de l’intelligence artificielle (IA) dans les solutions, vont dans le bon sens pour aider la gouvernance des entreprises. Pour faire écho au thème des Assises 2023 : prenons de la hauteur sur le sujet, et analysons les bénéfices de cette nouvelle réalité qui s’installe.

La place prépondérante des RSSI dans les organisations

La cybersécurité est encore considérée comme une spécialité à part, alors que cela ne devrait plus être le cas, tant la place qu’elle occupe dans l’entreprise est centrale. Les RSSI ou du moins les profils en charge de la sécurité des systèmes d’informations (SI) d’une entreprise occupent des postes à responsabilités élevées. Ils ont leurs propres budgets et peuvent influencer les décisions de gouvernance : ils devraient donc constamment faire partie de l’équipe décisionnaire pour la stratégie business.

En effet, la sécurité n’est plus du tout indépendante du côté commercial. La collaboration entre les services et avec d’autres entreprises partenaires est indispensable. Et pour innover plus rapidement, on ne peut plus se contenter de simplement mettre des firewalls partout en pensant éviter le pire. Aujourd’hui, un important niveau de sécurité ne peut être possible que si un écosystème est pensé pour travailler de manière coordonnée entre les services.

Si les remparts sont flous, les experts sur les sujets en cybersécurité se raréfient également. Mais il existe une porte d’entrée à tout SI : l’identité. Et une chose est sûre, le danger se trouve dans l’inertie.

L’éducation tout au long d’une carrière

Se défendre est un apprentissage en continu. Chaque jour, les hackeurs développent de nouveaux scénarios d’attaques. Face à cela, les entreprises mettent en place des outils pour se défendre. C’est un cycle : l’un prend l’avantage sur l’autre jusqu’à ce que la tendance s’inverse. De même, les uns utilisent les outils des autres pour identifier les failles et les points forts. Toute innovation peut donc tour à tour être bénéfique ou dangereuse.

Ne rien faire ou rester sur ses acquis revient à devenir ignorant. Les technologies évoluent trop vite pour que les cycles de formations classiques restent pertinents en matière de cybersécurité. Il faut ainsi repenser le concept même de formation. De fait, de plus en plus d’entreprises créent leurs propres académies internes à l’instar d’Airbus qui, après avoir participé à des formations de cybersécurité dans des écoles, a préféré façonner sa propre formation dédiée. De telles initiatives permettent ainsi aux entreprises de, non seulement former leurs futurs salariés, mais aussi de proposer à leurs employés de la formation continue, afin d’être plus efficace dans la réponse aux attaques.

Ce parti pris fort des entreprises prouve qu’il y a un dysfonctionnement au niveau des écoles dites « classiques » car leur concept même n’est plus d’actualité. Au lieu d’enseigner de la théorie, ponctuée de pratique, sur une technologie ou une sélection de scénarios d’attaques, les formations en sécurité informatique devraient s’attarder sur des méthodes pour se former tout au long de sa carrière. Ainsi, les élèves pourront intégrer des méthodes d’apprentissage pour rester à jour sur les nouvelles technologies mises sur le marché quotidiennement.

L’IA pour pallier le manque de ressources

A noter également, le vecteur privilégié des hackeurs qui est récurrent dans le SI, c’est l’utilisateur. Les hackeurs l’ont bien intégré à leurs techniques d’attaques et c’est pourquoi les e-mails de phishing sont désormais si bien construits. Les attaques avec défaillances techniques ou technologiques sont marginales comparées au nombre d’attaques de type phishing. Même si les utilisateurs sont sensibilisés à ces risques et que beaucoup savent qu’ils doivent rester vigilants, le volume d’identités et d’accès à l’écosystème de l’entreprise est en constante augmentation. Le nombre d’entreprises dans le Cloud est aussi croissant car le niveau de sécurité des plateformes est plus élevé que dans les datacenters d’entreprises classiques. En parallèle, les talents formés dans les écoles n’apprennent plus à gérer un datacenter privé. Ils apprennent à gérer les plateformes Cloud. Le SI se complexifie et nous avons donc besoin de l’IA pour simplifier sa gestion.

Intégrer ces nouvelles technologies aux solutions de gestion des accès et des identités ne peut que les améliorer. A terme, il ne s’agira pas de donner des accès aux utilisateurs à la volée. L’IA nous permettra plutôt de leur donner des accès au moment où ils en ont besoin et de les leur retirer une fois qu’ils n’en ont plus l’utilité : nous parlons bien d’autonomous identity. Pour ce type d’acLon, nul nécessité d’une intervention humaine même s’il s’agit d’une action critique car l’utilisateur ne doit pas pouvoir faire n’importe quoi dans le Cloud.

Grâce à l’IA, nous serons moins dépendants des talents, toutefois nous aurons toujours besoin d’eux pour gérer l’IA et les problèmes complexes qu’elle n’est pas encore capable de comprendre. Il est possible de tromper un bot qui n’a pas encore appris un nouveau scénario d’attaque, alors que L’Homme peut comprendre qu’il s’agit d’un nouveau genre d’attaque. Les humains seront par conséquent plus valorisés. En effet, dans ce cycle qui se dessine, l’IA est en début de chaîne, dès lors, la valeur ajoutée se trouve sur les personnes qui connaissent les technologies d’IA, leurs compétences attendues étant très fortes.

Certains déplorent que seules 1 % des PME sont assurées contre les risques cyber. Mais la question ne devrait pas se porter sur l’assurance. Au contraire, elle devrait être : « comment minimiser les risques et m’assurer de protéger les actifs qui me permettent de générer du profit » ?