Aujourd'hui plus que jamais, la survie des entreprises est en jeu du fait des criminels, des gouvernements, des armées et des concurrents toujours à l'affût de leurs données. La méfiance envers le monde extérieur n'est plus un signe de paranoïa; c'est devenu un principe de base dans l'informatique.
Les services de sécurité informatique doivent à présent se méfier de tout et de tout le monde, au lieu de chercher où tracer une ligne entre la confiance et la méfiance. Toutes les applications et tous les équipements matériels peuvent maintenant être piratés. La dure réalité implique que les organisations doivent bâtir des environnements zéro confiance pour survivre.
Pour assurer la survie d'une organisation dans un environnement zéro confiance, il est impératif d'initier le changement au niveau du conseil d'administration. Le changement doit se refléter dans les comportements et les politiques afin de garantir la protection des données sensibles et d'assurer que les entreprises puissent rester en activité avec une réputation intacte.
Voici quatre principes directeurs que peut suivre un directeur informatique pour s'assurer de suivre la bonne voie :
1. Ne faire confiance à personne : Ni aux objets connectés, ni aux employés
Traditionnellement, la sécurité informatique ressemble à une tortue. La protection contre les attaques est fournie par une carapace impénétrable dont les ouvertures vitales vers le monde extérieur sont assez petites pour être protégées.
Toutefois, au cours de la dernière décennie, notre sécurité reptilienne s'est retrouvée face à de nouveaux problèmes. La fréquence des attaques a connu une croissance exponentielle et ces attaques sont devenues plus ciblées. Le nombre de composants utilisés est devenu plus confus et en fin de compte, avec l'invention de l'iPhone, les utilisateurs ont commencé à creuser activement des trous dans la carapace depuis l'intérieur.
Si un pare-feu ou une directive interne leur barrait le chemin, les employés trouvaient des alternatives créatives pour les contourner. Par exemple en utilisant un stockage cloud non contrôlé comme DropBox ou GoogleDocs. Aucun responsable informatique ne peut garder le contrôle d'une telle situation.
Ce problème s'étend également aux équipements matériels, et c'est d'autant plus le cas avec la tendance croissante vers un « Internet des Objets ». Si tout est en réseau, chaque appareil devient un canal que des agresseurs peuvent pénétrer, voler ou corrompre.
En tant que telle, la structure de base de l'environnement zéro confiance est clair : Les infrastructures critiques doivent être protégées contre les autres composants informatiques et les utilisateurs par l'ajout de portails de sécurité intelligents. Chaque requête doit être contrôlée, chaque acte suspect doit être empêché et faire l'objet d'une enquête.
2. Il existe des produits prêts à l'emploi, mais pas des architectures
Configurer l'architecture au niveau logique reste très simple : trois zones, trois mécanismes de sécurité.
Toutefois, la mise en œuvre dans une architecture physique est tout sauf évidente. Tous les sites et tous les utilisateurs externes travaillant à domicile ou en déplacement ont besoin de leur propre structure de sécurité. En tant qu'élément central de presque toutes les infrastructures informatiques, le cloud est un facteur supplémentaire qui vient complexifier encore la situation.
La mission des outils utilisés pour gérer un environnement sécurisé - pare-feux, pare-feux pour les applications web (WAF), contrôleurs des développeurs d'applications (ADC)- s'est étendue. En plus d'assurer la sécurité dans un rôle de douanier, ils dirigent et optimisent les flux de données comme un policier assure la circulation.
Toutefois, la mise en œuvre physique d'une logique zéro confiance simple est également fondamentalement différente dans tous les cas, car chaque entreprise est unique. En résumé : Il n'existe plus d'infrastructure prête à l'emploi.
3. Un poste budgétaire informatique fixe pour les boissons
Les hommes politiques européens recommandent d'investir 10 % d'un budget informatique dans la sécurité. Vraiment ? Est-il réellement nécessaire que des hommes politiques dictent des recommandations de dépenses à une entreprise sans avoir la moindre idée du type d'entreprise dont il s'agit et des risques auxquels elle est exposée ? Cela me fait penser à une approche bornée résultant d'une vision dépassée de l'informatique.
Les technologies ont beaucoup évolué au cours de la dernière décennie. IDC résume cette rupture sismique en décrivant une nouvelle plateforme pour l'informatique : la troisième plateforme. Le principe de base est que les architectures ne sont plus dominées par des serveurs centraux (première plateforme), ni par des concepts de client-serveur (deuxième plateforme). Aujourd'hui, l'architecture moderne a évolué vers une construction sur des équipements mobiles, des services cloud, des technologies sociales et des données Big Data. La combinaison de ces développements technologiques englobe la troisième plateforme pour l'infrastructure informatique.
Pour les entreprises, la « troisième plateforme » signifie que l'intégration de l'informatique avec les autres domaines de l'entreprise est plus importante que jamais. Les approches sectorielles et spécifiques à l'entreprise doivent être entièrement guidées par les exigences métier. Cela se traduit par la fin du département informatique en tant qu'équipe d'experts isolés, et par là même, la fin du directeur de l'informatique tel que nous le connaissons. Le Directeur informatique est mort. Longue vie au Directeur informatique !
Le directeur informatique de demain et son équipe devront passer du temps avec des départements spécialisés de leur organisation, notamment les RH, le contrôle qualité, l'approvisionnement, les ventes, le service client et le marketing. Il ou elle sera impliqué(e) dans la planification dès la première heure et sera responsable de la mise en œuvre et du maintien des performances nécessaires à l'entreprise.
La communication sera ici primordiale, et, soyons francs, c'est une compétence pour laquelle le département informatique n'a jamais été primé par le passé.
4. Resserrer la vis
Les environnements zéro confiance bâtis sur la troisième plateforme demandent au directeur informatique d'adopter un style de gestion autonome.
D'un côté, le directeur informatique doit serrer la vis pour garder le contrôle de son domaine. Il doit empêcher et arrêter la prolifération informatique et le sabotage quotidien des employés. Toutefois, s'il interdit strictement l'informatique centralisée par département, les employés trouveront d'autres moyens.
Le directeur informatique doit comprendre leurs exigences, avoir le courage de rejeter les demandes extravagantes et trouver des compromis inventifs.
Nous vivons dans une époque où des nations accusent d'autres nations de délits d'espionnage industriel, et aujourd'hui plus que jamais, nos données et la survie de l'entreprise sont menacées.
La méfiance envers la collectivité doit être un paramètre par défaut pour tous les directeurs informatiques. La communication, la diplomatie et la négociation sont devenues des compétences essentielles et nécessaires pour garder le contrôle dans un environnement zéro confiance.