Analyser les défis de l'entreprise,
pour accélérer sa transformation digitale

Sécurité

Comment sécuriser vraiment sa transformation digitale

Comment sécuriser vraiment sa transformation digitale

A l’évidence, le thème de la sécurité est désormais inséparable de celui de la transformation digitale. Chaque jour ou presque, des exemples surgissent. « Les menaces en matière de sécurité ont fait partie de notre actualité courante en 2016, note Sri Sundaralingam, directeur du marketing produit chez Symantec, je pense aux ransomwares contre des hôpitaux ou des banques d’investissements, aux attaques géopolitiques contre le comité national démocrate et la campagne de Mme Clinton, ou contre le système Swift ».

Chacun en est conscient, à l’intérieur des entreprises comme dans le grand public. La transformation digitale ne peut se développer sans confiance des clients. Seule une sécurité absolue en sera le garant, à l’opposé de la peur et de l’incertitude qui se répandent facilement sur le sujet. Pourtant, les mesures prises le sont forcément de manière discrète. Le paradoxe est donc flagrant, entre le doute qui s’installe, et le travail cohérent de sécurisation de la transformation digitale.

Dans ce cadre, il faut également se montrer réaliste et prendre en compte la portée des menaces, tant au niveau politique qu’international. Les cyber-attaques sont toujours supposées venir des mêmes zones géographiques, russe, proche-orientale, nord-coréenne, ou chinoise. L’entreprise privée est susceptible d’être ciblée pour sa nationalité d’origine et la politique menée par le gouvernement local, plus que pour ses produits et ses secrets industriels. Une extension considérable du risque, par rapport à sa dimension passée.

Ne pas oublier les menaces internes ou locales

Autre extension, celle venue de l’interne ou de menaces locales, qui se multiplient pour des raisons diverses. Un mélange de délinquance, de jeu, d’envie ou d’amertume, très personnelles et qui peuvent se transformer en volontés de nuire. Il suffit d’une faille et en face d’un peu de compétences pour donner corps à une menace. L’entreprise est donc face à des risques divers, de types très différents, nécessitant, avant d’adopter une solution nouvelle une bonne structuration de son information et une nouvelle appréciation des menaces et de ceux qui les portent.

Ce nouveau contexte est celui où l’entreprise mène sa transformation digitale, avec ses facteurs de risques, à apprécier de manière réaliste. « La question n’est plus « pouvons-nous placer nos données dans le cloud ? », mais bien « quelle sécurité mettre en place pour amener nos données dans le cloud ? », remarque Andras Cser dans l’étude  Forrester, Cloud security Gateway, qu’il a pilotée. La même étude établit une liste des points de vigilance à adopter et aligne les exemples.

Elle cite d’abord la détection d’activités inhabituelles ou frauduleuses associées aux données dans le cloud. Exemple, un comportement « normal » pour des commerciaux c’est probablement d’accéder à 10 à 15 dossiers clients par jour dans Salesforce. Si un commercial télécharge  plusieurs milliers d’éléments en une journée, l'activité est évidemment suspecte et doit déclencher une alerte comportementale auprès des responsables sécurité. De même, si Box, Dropbox et OneDrive sont de grandes plates-formes de stockage dans le cloud,  leurs utilisateurs peuvent facilement stocker et télécharger des fichiers contenant des logiciels malveillants. Le logiciel traditionnel de protection des terminaux ne peut souvent pas détecter les logiciels malveillants entre les plates-formes cloud. Le malware permettant aux pirates de compromettre les informations d'identification des administrateurs privilégiés, qui ont un accès sans restriction à Google Apps, OneDrive, etc., offre ainsi un moyen simple de siphonner les données sensibles.

Des applications cloud non validées par la DSI

Un autre exemple ? Très simple, dans beaucoup de grandes entreprises, même si celles-ci fournissent une plate-forme de stockage parfaitement sécurisée, les salariés utilisent souvent des applications cloud non validées par la DSI. Elles permettent de partager des données sans aucun contrôle. Non content, les salariés sont également susceptibles, selon Forrester, de croiser des informations précieuses de l'entreprise, comme des feuilles de calcul avec des informations personnellement identifiables ou des diagrammes de conception contenant des droits de propriété intellectuelle, des e-mails et des plates-formes de stockage. Autant de possibilités pour les cyber-délinquants de violer des données et de mettre en danger, non seulement les stratégies de l'entreprise, mais le respect de règles telles que PCI, SOX et HIPAA.

Les développements digitaux de l’entreprise, en particulier l’utilisation de services dans le cloud, impliquent de repenser la sécurité. Sans peur, mais sans faiblesse. Forrester, dans son étude The Forrester Wave, Endpoint Security Suite, Q4 2016, en tire les conclusions et place Symantec en tête d’un classement graphique où se croisent l’offre produits et la qualité de la stratégie. La raison est simple. Les CISO et les RSSI ont besoin d'une plate-forme intégrée qui permette, non seulement d'enquêter (qui a fait exactement quoi, quand et où), mais aussi de proposer des rapports visuels.  De tels outils peuvent mettre en évidence l'utilisation massive, et non autorisée, des applications dans le cloud, l'aide à l'analyse des tendances, et l'amélioration de la position de l'entreprise en matière de sécurité, au moment même où elle transfère ses données vers le cloud. Symantec propose en particulier une réponse graduée, associée aux solutions de télémétrie de BlueCoat. Le choix d’un grand partenaire comme HPE et maintenant de DXC s’avère essentiel.

La mobilité et l’IoT

Cette réponse doit rester opérationnelle pour les nouvelles tendances comme la mobilité ou l’Internet des objets. Il s’agit d’ailleurs beaucoup plus que de nouveaux usages, mais de transformation des postes et de l’environnement de travail, des équipes, du collaboratif. Autant de brèches potentielles, côté terminaux, logiciels en SaaS, ou bien du fait de la constitution de nouvelles équipes de travail dans l’éco-système de l’entreprise. L’internet des objets pose, toutes proportions gardées, un risque comparable, avec des points de contacts sur un réseau très étendu, en dehors de l’entreprise, avec l’implication de multiples intermédiaires.

La pratique des API ouvre d’autres possibilités, de travail et de croissance, et en parallèle d’insécurité, si le sujet n’est pas traité dès le départ. Plus qu’ailleurs, on constate que la sécurité pourrait freiner cette utilisation des API, si elle était mal intégrée et mal présentée. Or, l’échange de données et le travail en équipes distantes peut se faire en toute sécurité pour garantir l’intégrité des API. Preuve supplémentaire qu’il faut intégrer la sécurité dès le début dans la conception de nouveaux produits et services pour qu’elle ne soit pas une crainte mais bel et bien un point d’appui.

Partager cet article

Abonnez-vous à la newsletter CIO

Recevez notre newsletter tous les lundis et jeudis

UTILISATION DES COOKIES

En poursuivant votre navigation sur ce site,
vous acceptez l'utilisation de cookies pour vous proposer des services et offres adaptés à vos centres d'intérêts.

Pour en savoir plus, consultez notre politique relative à la vie privée.

La question du moment
Les métiers disposent-ils d’un recensement exhaustif des données disponibles pour leurs analyses ?