Transformation Digitale

Transformation : les 5 commandements de la nouvelle sécurité digitale

14 octobre 2016

Transformation : les 5 commandements de la nouvelle sécurité digitale

La transformation digitale crée de nouvelles exigences et de nouveaux risques en matière de sécurité. Elle requiert une approche globale permettant aux utilisateurs d’employer ces nouveaux services en toute confiance, tout en assurant une parfaite maîtrise des risques informatiques pour l’entreprise. Voici les 5 « commandements » que je préconise aux nouveaux RSSI…

Une plus grande ouverture du SI, des données non structurées et de moins en moins cloisonnées, des volumes qui explosent, une population d’utilisateurs plus vaste et hétérogène et une cohabitation d’anciennes applications avec de nouvelles technologies… La transformation digitale a des conséquences importantes en matière de sécurité, et ce à tous les stades de la mise en œuvre d’un projet.

Du coup, les stratégies classiques de cloisonnement ne fonctionnent plus ! La mise en œuvre d’une stratégie de sécurité globale – et non plus « silotée » –  et entièrement remaniée est une nécessité pour assurer le succès de la transformation digitale. Les nouveaux RSSI (responsables de la sécurité des systèmes information) ne vont pas chômer.

Une approche « de bout en bout »

Cela implique en effet une véritable vision, prenant en compte l’ensemble des aspects de la transformation et proposant une approche de sécurité cohérente et pilotée depuis les choix stratégiques jusqu’à leur implémentation dans les processus, les applications et l’infrastructure.

L’approche dite « de bout en bout » devra être employée et cibler deux grands objectifs : la protection de la vie privée des clients et des employés (leurs données personnelles) et la protection de l’entreprise (ses moyens informatiques et les données de production).

Voici donc mes cinq commandements à destination de ces nouveaux RSSI en charge de la cybersécurité de la transformation.

1 – Dès la conception, sécurité tu penseras

Le propre de la transformation digitale est l’arrivée de nouvelles technologies et de nouveaux usages des technologies existantes. Conçues généralement en prototypage itératif, la sécurisation de ces applications est souvent traitée après les phases pilotes une fois le concept validé.

Mais il peut être très compliqué de sécuriser une application à postériori si l’architecture n’a pas été pensée dans ce sens. On adoptera donc une méthode de conception dite secure by design pour prendre en compte les différents risques identifiés dès la conception.

2 – Une vigilance particulière tu imposeras

Concernant la gestion des identités et des accès, une vigilance particulière s’impose. C’est un des véritables enjeux de la transformation digitale : la multiplication et l’hétérogénéité des utilisateurs augmentent, et pourtant les systèmes d’authentification demeurent un point faible. Même les solutions biométriques ont montré leurs limites. On séparera donc, par exemple, les profils avec des droits de création des données sensibles (comme le transfert d’argent) et les profils qui valident ces données. On limitera au maximum le nombre d’utilisateurs et de comptes à haut privilège. On aura une politique de gestion des mots de passe exigeante et on mettra en place des systèmes d’authentification à plusieurs facteurs pour les processus sensibles.

3 – Les systèmes vulnérables tu isoleras

Les parcs applicatifs sont parfois très hétérogènes, car ils utilisent des technologies conçues à diverses périodes. Comme les nouvelles applications doivent communiquer et s’intégrer dans ce parc, la gestion de l’obsolescence et de l’hétérogénéité technologiques du parc applicatif est à traiter en priorité. Il sera donc parfois nécessaire d’isoler ces systèmes vulnérables, car non conçus initialement pour faire face aux nouveaux enjeux de sécurité, en les protégeant de façon spécifique. Sans oublier de tracer toutes les dérogations aux consignes de sécurité de ces systèmes pour les traiter comme il se doit.

4 – Un SOC (Security Operations Center) tu installeras

De nouvelles failles sont découvertes tous les jours dans les logiciels du commerce, et de nouvelles stratégies d’attaques sont mises au point par les hackers. Ces failles, dont le correctif n’est pas encore disponible (vulnérabilité Zero Day), s’échangent à prix d’or sur le darknet et offrent une porte d’entrée dans les SI les mieux protégés. La simple mise aux normes de sécurité du SI, bien qu’absolument nécessaire pour limiter le risque, se révèle donc insuffisante. Pour détecter et traiter des attaques quotidiennes et de plus en plus sophistiquées, le mieux est de rassembler une équipe d’experts qui analyse en temps réel l’ensemble de l’activité du SI (logs de trafic, mails et différents flux, etc.), à la recherche des « signaux faibles » pour détecter des actions suspectes, comme la connexion d’un administrateur depuis un poste inhabituel ou l’exfiltration de données sensibles, et réagir en conséquence.

5 – Les utilisateurs tu informeras

Gardez en tête que les utilisateurs eux-mêmes sont souvent le point faible, car les hackers utilisent leur naïveté. Il est donc indispensable d’informer et de former régulièrement les utilisateurs sur les pratiques des hackers et la conduite à tenir. Mais également de concevoir les applications de façon à limiter les capacités de nuisance d’un utilisateur qui aurait été abusé.

Ainsi la confiance numérique tu instaureras

Alertés par des incidents de sécurité, de plus en plus nombreux et médiatisés (on se souvient des attaques sur TV5 Monde, des fuites ou vols de données chez Sony ou le fabricant de jouets VTech…) les clients, le personnel, mais également les actionnaires, peuvent devenir méfiants, voire se désengager. La transformation numérique ne sera donc un succès que si elle est accompagnée de la confiance numérique, c’est-à-dire la certitude que les enjeux de sécurité sont traités avec une vigilance permanente et le plus haut niveau de professionnalisme.

Et n’oubliez pas, enfin, que donner confiance aux utilisateurs assure la pérennité de l’entreprise. Car rétablir la confiance suite à un incident de sécurité majeur est souvent très complexe.

Cet article a été rédigé à partir de notre Livre Blanc : Réussir son projet de Transformation Digitale

Leave a comment

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *