Pour certains décideurs DAF, DSI, CDO, mettre en œuvre des mesures avancées de sécurité, peut diminuer la productivité et l’efficacité du système d’information.
Productivité et Sécurité, complémentaires et non opposées !
Grave erreur qui peut coûter la vie de l’entreprise, mais une erreur explicable par une méconnaissance du sujet cybersécurité et des technologies de plus en plus complexes.
A l’heure où la sécurité des systèmes d’information apparaît comme étant le sujet numéro un de préoccupation des professionnels de l’IT des entreprises indépendamment de leur taille et de leur localisation, plusieurs études et rapports (ISACA/RSA, Barkly Cybersecurity Confidence Report) indiquent une stagnation, voire une diminution des efforts de certaines entreprises à déployer des solutions de sécurité de nouvelle génération plus prédictives que curatives, telles que l’analyse prédictive des logs, des SOCs actifs et opérationnels avec des data security analysts, la supervision régulière des vulnérabilités des systèmes, le monitoring des utilisateurs à privilèges, la sécurité des applications, des clouds et du shadow IT, etc.
Pour certains responsables IT et métier, la sécurité impacte la productivité des équipes, peut diminuer la portée des outils cloud, corsète les usages des applications et des réseaux sociaux, etc.
Hélas, ils ne mesurent pas les dangers, pas uniquement la contamination virale mais surtout le vol de savoirs auquel leurs entreprises s’exposent. Le cas le plus fréquent est celui du manque de connaissances de la réalité de la sécurité de l’information, des fréquentes attaques invisibles dont les entreprises sont victimes. Mais à cela s’additionne une méconnaissance des solutions existantes pour sécuriser les besoins de collaboration, de partage, de mobilité, d’accès hors frontières aux données de l’entreprise. Il est vrai que la complexification technique de solutions de signature électronique, de WAF, de chiffrement de données, de sécurité cloud, etc. rend plus difficile leur intégration et leur utilisation dans les SI des entreprises qu’à l’époque d’un firewall ou du déploiement d’un banal antivirus.
La cybersécurité d’aujourd’hui doit couvrir « l’économie des API », une économie basée sur la distribution de services web interconnectés.
Le modèle des Gafa (Google, Amazon, Facebook, Apple…) construit sur des infrastructures basées sur des API, se décline en entreprise, l’entreprise connectée, élargie, sans frontières, et où la cybersécurité est indispensable. Elle est plus complexe technologiquement mais bien complémentaire à la productivité.
Récemment nous avons travaillé avec un des leaders mondiaux des paris sportifs qui pour des raisons commerciales devait mettre en œuvre des liens de partage applicatif (API, Web Services, interfaçage XML), de partage des données marketing et CRM avec plusieurs agences de webmarketing internationales pour la conduite de campagnes publicitaires. Des API doivent accéder automatiquement et régulièrement à certaines zones de données de sa base CRM. L’entreprise a mené une rapide analyse des risques encourus quant à l’aspiration de la totalité de ses données CRM et devant les risques stratégiques pour elle, a décidé de mettre en œuvre une solution de contrôle et filtrage applicatif des données partagée avec ses partenaires marketing. Voilà une démarche intelligente, prévoyante et adaptée aux cyber-risques actuels, tout en permettant un développement commercial lui aussi à l’heure des réseaux sociaux et d’Internet.
Pour certains cette opposition productivité – sécurité est aussi générée par la difficulté de nombre de DSI, CDO ou même RSSI, à évaluer le retour sur investissement (le fameux ROI) d’un investissement en sécurité SI. Mais comment ne pas être capable d’évaluer le coût financier d’une attaque malware ou d’un ransomware qui détruit ou bloque le centre nerveux d’une entreprise engendrant des pertes importantes ?! Comment ne pas être capable d’évaluer l’impact du vol des données clés à l’activité de l’entreprise ?!
Mais le coût reste un point intéressant dans le sujet de la sécurité.
C’est sûr, pour protéger une entreprise, au-delà des outils, ce qui coûte cher c’est l’humain, les ingénieurs pour mettre en œuvre les outils et les processus et surveiller car la cybersécurité est un sujet en permanente mouvance qui nécessite une adaptation régulière des paramétrages et une supervision constante. Il faut donc investir. Pas au détriment des autres facettes du système d’information mais en complément indispensable.
L’émergence de l’intelligence artificielle et le développement de l’internet des objets vont rendre la cybersécurité encore plus critique, plus complexe, alors que la persistance sur le long terme de la pénurie des compétences va aggraver les risques et le niveau effectif de protection des entreprises.
Téléchargez cette ressource
Livre blanc Sécurité et Stockage des documents
Découvrez dans ce livre blanc Kyocera les outils logiciels qui permettent une approche holistique et efficace de la collecte, du stockage, de la gestion et de la sécurisation des documents en entreprise.