LA SÉCURITÉ DU CLOUD ET LE RÔLE ÉVOLUTIF DU RSSI

Il y a certaines choses dont on peut être sûr aujourd’hui : le PSG aura le plus gros budget joueurs des clubs en Ligue 1, le soleil se lèvera et les équipes de sécurité seront le cauchemar des autres départements informatiques. Depuis mes débuts dans l'informatique (il y a 25 ans à Sydney), la sécurité était déjà une lutte interne avec l'équipe chargée des réseaux. L’objectif ultime consistait à essayer de faire travailler ces différentes équipes ensemble ; avec des résultats incroyables lorsque cela était atteint.

Au fil du temps les entreprises ont appuyé leur expansion sur le développement d’applications. Le shift vers le devopps, la transformation en mode agile, la grande disponibilité des données et les hébergements cloud des données est devenu la norme. Les responsables de la gestion des risques sont naturellement la force opposée au changement. Il est commun de voir l'équipe de gestion des risques et sécurité examiner les dossiers pour approuver ou, plus probablement, refuser une version. Naturellement, les équipes de gestion des risques sont devenues le département du Non et ont été qualifiées de bloqueurs de l'innovation – dans un contexte ou le processus des équipes de développement et de conception consiste à faire tourner les serveurs en quelques minutes alors que les approbations des équipes de sécurité prennent de 7 à 14 jours si tout a été autorisé. Et le cycle de la sécurité versus business recommence.

Je tiens à préciser que ces contrôles de sécurité sont un processus vital au sein des organisations. Sans de tels contrôles les infractions se produiraient bien plus souvent avec de graves répercussions.

Puis nous avons eu le Covid19 ; des programmes de transformation numérique qui auraient dû prendre des années ont dû être déployés en quelques mois. Il y avait déjà un élan croissant pour la transformation numérique dans le monde entier. Selon l'étude Harvey Nash/KPMG CIO Survey 2019, près de 44 % des organisations prévoient de modifier leur offre de produits/services ou leur modèle commercial fondamentalement dans les trois prochaines années ; et le même pourcentage d'entreprises ont adopté à grande échelle le cloud et au moins un cinquième ont mis en œuvre à petite échelle l'IoT, les plateformes on-mand, le RPA (automatisation des processus robotiques) et l'IA (intelligence artificielle). Si l'on avance rapidement depuis plusieurs mois, il est probable que presque toutes les entreprises envisagent ou planifient maintenant une transformation dans un monde « toujours connecté, toujours ON »

Quelles observations pouvons-nous donc faire :

Le CISO doit porter plusieurs casquettes alliant les risques métier, technologiques et la continuité du business. Il s’agit désormais d’encourager les innovations, réduire les frictions, piloter et contrôler le programme de sécurité, établir la confiance numérique, être conscient du paysage des menaces ainsi que du paysage réglementaire, comprendre le facteur humain et gagner la confiance de multiples parties prenantes. Quel programme !

Les équipes de sécurité doivent et devront évoluer pour passer de la création de services d'entreprise cloisonnés/isolés, (qui ne fonctionnent pas à la vitesse du cloud et ne fournissent pas de support spécialisé aux équipes de développeurs sur les RPA, les API), à un modèle de responsabilité partagée dans toute l’organisation et suffisamment sensible pour accompagner le rythme de la transformation numérique avec un probable shift vers des processus adaptatifs et une plus grande collaboration.

La cyber-résilience doit être intégrée dans les valeurs de l'entreprise tout en permettant aux équipes techniques et aux développeurs d'agir. Le CISO doit passer du rôle de protecteur à celui de créateur de valeur ajoutée. Néanmoins la gestion de ces projets, l'articulation et l'adhésion des différentes parties prenantes ne peuvent être réalisés qu'en alignant les équipes de sécurité sur les objectifs de l'entreprise.