Connexion
/ Inscription
Mon espace

[Point de vue] L'Environnement zéro confiance et le rôle du directeur informatique 

BE - Entreprises & initiatives
ABONNÉS

Par le Dr Wieland Alge, vice-président et directeur général EMEA chez Barracuda Networks

Aujourd'hui plus que jamais, la survie des entreprises est en jeu du fait des criminels, des gouvernements, des armées et des concurrents toujours à l'affût de leurs données. La méfiance envers le monde extérieur n'est plus un signe de paranoïa; c'est devenu un principe de base dans l'informatique. 

Les services de sécurité informatique doivent à présent se méfier de tout et de tout le monde, au lieu de chercher où tracer une ligne entre la confiance et la méfiance. Toutes les applications et tous les équipements matériels peuvent maintenant être piratés. La dure réalité implique que les organisations doivent bâtir des environnements zéro confiance pour survivre. 

Pour assurer la survie d'une organisation dans un environnement zéro confiance, il est impératif d'initier le changement au niveau du conseil d'administration. Le changement doit se refléter dans les comportements et les politiques afin de garantir la protection des données sensibles et d'assurer que les entreprises puissent rester en activité avec une réputation intacte. 

Voici quatre principes directeurs que peut suivre un directeur informatique pour s'assurer de suivre la bonne voie :

1. Ne faire confiance à personne : Ni aux objets connectés, ni aux employés

Traditionnellement, la sécurité informatique ressemble à une tortue. La protection contre les attaques est fournie par une carapace impénétrable dont les ouvertures vitales vers le monde extérieur sont assez petites pour être protégées.

Toutefois, au cours de la dernière décennie, notre sécurité reptilienne s'est retrouvée face à de nouveaux problèmes. La fréquence des attaques a connu une croissance exponentielle et ces attaques sont devenues plus ciblées. Le nombre de composants utilisés est devenu plus confus et en fin de compte, avec l'invention de l'iPhone, les utilisateurs ont commencé à creuser activement des trous dans la carapace depuis l'intérieur.

Si un pare-feu ou une directive interne leur barrait le chemin, les employés trouvaient des alternatives créatives pour les contourner. Par exemple en utilisant un stockage cloud non contrôlé comme DropBox ou GoogleDocs. Aucun responsable informatique ne peut garder le contrôle d'une telle situation.

Ce problème s'étend également aux équipements matériels, et c'est d'autant plus le cas avec la tendance croissante vers un « Internet des Objets ».   Si tout est en réseau, chaque appareil devient un canal que des agresseurs peuvent pénétrer, voler ou corrompre. 

En tant que telle, la structure de base de l'environnement zéro confiance est clair : Les infrastructures critiques doivent être protégées contre les autres composants informatiques et les utilisateurs par l'ajout de portails de sécurité intelligents. Chaque requête doit être contrôlée, chaque acte suspect doit être empêché et faire l'objet d'une enquête.

2. Il existe des produits prêts à l'emploi, mais pas des architectures

Configurer l'architecture au niveau logique reste très simple : trois zones, trois mécanismes de sécurité.

Toutefois, la mise en œuvre dans une architecture physique est tout sauf évidente. Tous les sites et tous les utilisateurs externes travaillant à domicile ou en déplacement ont besoin de leur propre structure de sécurité. En tant qu'élément central de presque toutes les infrastructures informatiques, le cloud est un facteur supplémentaire qui vient complexifier encore la situation.

La mission des outils utilisés pour gérer un environnement sécurisé - pare-feux, pare-feux pour les applications web (WAF), contrôleurs des développeurs d'applications (ADC)- s'est étendue. En plus d'assurer la sécurité dans un rôle de douanier, ils dirigent et optimisent les flux de données comme un policier assure la circulation.

Toutefois, la mise en œuvre physique d'une logique zéro confiance simple est également fondamentalement différente dans tous les cas, car chaque entreprise est unique. En résumé : Il n'existe plus d'infrastructure prête à l'emploi.

3. Un poste budgétaire informatique fixe pour les boissons

Les hommes politiques européens recommandent d'investir 10 % d'un budget informatique dans la sécurité. Vraiment ? Est-il réellement nécessaire que des hommes politiques dictent des recommandations de dépenses à une entreprise sans avoir la moindre idée du type d'entreprise dont il s'agit et des risques auxquels elle est exposée ? Cela me fait penser à une approche bornée résultant d'une vision dépassée de l'informatique. 

Les technologies ont beaucoup évolué au cours de la dernière décennie. IDC résume cette rupture sismique en décrivant une nouvelle plateforme pour l'informatique : la troisième plateforme.   Le principe de base est que les architectures ne sont plus dominées par des serveurs centraux (première plateforme), ni par des concepts de client-serveur (deuxième plateforme). Aujourd'hui, l'architecture moderne a évolué vers une construction sur des équipements mobiles, des services cloud, des technologies sociales et des données Big Data. La combinaison de ces développements technologiques englobe la troisième plateforme pour l'infrastructure informatique.

Pour les entreprises, la « troisième plateforme » signifie que l'intégration de l'informatique avec les autres domaines de l'entreprise est plus importante que jamais. Les approches sectorielles et spécifiques à l'entreprise doivent être entièrement guidées par les exigences métier. Cela se traduit par la fin du département informatique en tant qu'équipe d'experts isolés, et par là même, la fin du directeur de l'informatique tel que nous le connaissons. Le Directeur informatique est mort. Longue vie au Directeur informatique !

Le directeur informatique de demain et son équipe devront passer du temps avec des départements spécialisés de leur organisation, notamment les RH, le contrôle qualité, l'approvisionnement, les ventes, le service client et le marketing. Il ou elle sera impliqué(e) dans la planification dès la première heure et sera responsable de la mise en œuvre et du maintien des performances nécessaires à l'entreprise.

La communication sera ici primordiale, et, soyons francs, c'est une compétence pour laquelle le département informatique n'a jamais été primé par le passé.

4. Resserrer la vis 

Les environnements zéro confiance bâtis sur la troisième plateforme demandent au directeur informatique d'adopter un style de gestion autonome.

D'un côté, le directeur informatique doit serrer la vis pour garder le contrôle de son domaine. Il doit empêcher et arrêter la prolifération informatique et le sabotage quotidien des employés. Toutefois, s'il interdit strictement l'informatique centralisée par département, les employés trouveront d'autres moyens. Le directeur informatique doit comprendre leurs exigences, avoir le courage de rejeter les demandes extravagantes et trouver des compromis inventifs.

Nous vivons dans une époque où des nations accusent d'autres nations de délits d'espionnage industriel, et aujourd'hui plus que jamais, nos données et la survie de l'entreprise sont menacées. 

La méfiance envers la collectivité doit être un paramètre par défaut pour tous les directeurs informatiques. La communication, la diplomatie et la négociation sont devenues des compétences essentielles et nécessaires pour garder le contrôle dans un environnement zéro confiance.

Lectures du moment, tribunes d'experts, management et entrepreneuriat...

 Comprendre l'économie durable pour s'y investir

 

Lire la suite...


Articles en relation

BE - Entreprises & initiatives
ABONNES
Etat des lieux du coworking en Ile-de-France

Accroissement du nombre de travailleurs indépendants, essor de la digitalisation et du télétravail, nouvelles générations plus mobiles et en quête d'autonomie… le coworking répond aux multiples enjeux posés par la transformation des modes de travail, ainsi qu'aux stratégies d'entreprises de plus en plus soucieuses de flexibilité... Le phénomène est en pleine expansion depuis 2015 sur le marché immobilier des bureaux. Knight Frank dresse le bilan de la situation en Ile-de-France. Un phénomène...

BE - Entreprises & initiatives
ABONNES
4 salariés sur 10 se plaignent d'un mauvais équilibre vie pro / vie perso

75% des salariés européens préfèrent garder bien distinctes et séparées leur vie professionnelle et leur vie personnelle, selon l'étude « Révélez vos talents » d'ADP (Automatic Data Processing). L'étude, qui a interrogé plus de 2 500 travailleurs en France, en Allemagne, en Italie, aux Pays-Bas et au Royaume Uni, a conclu que, malgré ces préférences, près d'un tiers (31%) de ces salariés ne pensent pas avoir un bon équilibre vie professionnelle - vie privée dans leur situation actuelle. Les...

BE - Entreprises & initiatives
ABONNES
Depuis 2017, les tensions géopolitiques augmentent les pertes associées au risque politique

Willis Towers Watson et Oxford Analytica publient leur enquête annuelle* sur le risque politique. Selon les résultats de cette enquête, les préoccupations géopolitiques grandissantes provoquent une augmentation des risques politiques. Ainsi 55% des entreprises internationales générant un CA supérieur à 1 Md$ ont vécu au moins une perte liée au risque politique supérieure à 100 M$. L'étude souligne par ailleurs le phénomène selon lequel les crises économiques vécues par les marchés émergents...

BE - Entreprises & initiatives
ABONNES
« GO ! Épargne entreprise », une offre d'épargne salariale pour les PME et les ETI

Lancée par le Groupe Henner, Cedrus Partners et Sanso IS, en partenariat avec l'assureur AXA, cette nouvelle offre se distingue par sa transparence et sa simplicité d'utilisation. Elle englobe 3 solutions d'investissement intégrant une composante liée au développement durable. Sans droits d'entrée ni frais de tenue de compte pour les salariés concernés, ce nouveau dispositif d'épargne salariale a pour vocation d'être clé en main pour les entreprises. Voté en première lecture à l'Assemblée en...