La cybersécurité a changé. Poncif ? Peut-être. Mais est-on bien certain de savoir mesurer toutes les implications de cette étonnante évolution ? Peut-être pas. Depuis les dernières directives issues de la stratégie européenne de cybersécurité, les RSSI ont enfin obtenu, quasiment du jour au lendemain, l’entière attention de leur direction. Jusqu’ici, ne fallait-il pas se démener pour que le budget cyber soit à la hauteur des menaces ? Pour que les décisions d’achat ou de souscription cessent d’être guidées par les effets de mode ? Évidemment, ce type d’écueils se rencontrent encore.
Cela dit, de moins en moins, car les professionnels de la cybersécurité d’entreprise sont dorénavant pris très au sérieux. Si les échanges entre RSSI et métiers sont encore succincts et varient en fonction des organisations et de leur maturité, une synergie entre sécurité (à travers le RSSI) et métiers (business, infrastructure ou encore production) prend forme notamment dans des cadres communs comme le règlement DORA ou l’approche par les risques. Cette écoute attentive et ses effets ne s’exercent pas qu’en interne et rejaillissent sur toute l’activité de conseil et d’intégration de solutions de cybersécurité. Le rôle du RSSI prend de l’épaisseur, sa fonction devient stratégique, son budget s’étoffe suffisamment pour aiguiser son intérêt et son appétit pour plus de préconisations et de nouvelles solutions, plus conformes à l’état de la menace et du risque d’aujourd’hui.
La réglementation à l’œuvre
Les moteurs de cette évolution majeure ? Les cyberattaques et leur corollaire, la réglementation. Pour mémoire, les premières mesures majeures en la matière ne datent plus d’hier. Qu’il s’agisse de la loi de programmation militaire n° 2013-1168 du 18 décembre 2013 qui fixait déjà un cadre réglementaire pour protéger les infrastructures critiques contre les cyberattaques ou la directive NIS 1 (directive européenne 2016/1148 Network Information Security), transposée en 2018 dans le droit français, les entreprises ont progressivement été sensibilisées à la menace, relayant ainsi les appels du pied, de plus en plus insistants, des responsables de la sécurité informatique.
Une course à l’armement cyber
Avec la démocratisation des services en ligne, la valeur croissante de la donnée, l’augmentation des échanges numériques, la massive informatisation de l’entreprise et la dissémination des systèmes d’information, la hausse des incidents de sécurité n’a fait que suivre le cours normal de l’évolution des méthodes de travail. Plus médiatisée également, cette tendance au risque cyber a profondément transformé les équilibres et contribué à répartir autrement l’effort financier dans les organisations.
Conséquence somme toute prévisible de l’augmentation du budget de la direction des systèmes d’information, un empilement de solutions de cybersécurité très hétérogènes contribuant moins à la sécurité globale qu’à une perte de la visibilité des actifs de l’entreprise et une fausse impression de sécurité.
Le souhait de la consolidation
Aujourd’hui toutefois, les organisations entrent dans une phase de stabilisation, notamment motivée par une baisse des budgets IT, dans laquelle les RSSI cherchent à rationaliser le parc de solutions de cybersécurité. L’exercice demeure complexe : l’évolution très rapide des usages ne permet pas toujours de différencier l’accessoire de l’indispensable.
L’effort de consolidation se heurte également à l’hyperspécialisation des acteurs de la cybersécurité français et européens. Naturellement, il reste aux organisations le choix de confier leur cybersécurité à l’un ou l’autre géant américain de la cyber (ou éventuellement israélien), dont la croissance externe, généralement offensive, lui permet de couvrir la quasi-totalité des thématiques considérées. Cela ne résout toutefois pas les problématiques liées à la souveraineté et aux limites budgétaires et renforce considérablement le risque d’enfermement propriétaire que les entreprises cherchent pourtant à fuir autant que possible.
Rationaliser, consolider, dé-commissionner
S’orienter dans le dédale d’une informatique en évolution permanente
Afin de déculpabiliser chacun, précisons qu’en dehors de quelques secteurs sensibilisés et contraints depuis longtemps comme la banque/finance et les grands OIV, la cybersécurité d’entreprise reste un domaine où subsistent beaucoup d’incertitudes, s’additionnant au fil du temps et de la croissance. Un rapprochement de filiales et ce sont de nouvelles solutions de cybersécurité qui s’ajoutent à l’existant, de nouveaux matériels, de nouvelles méthodes avec lesquelles il faut composer.
Dans la pratique, au-delà de quelques convictions générales comme l’urgence de rationaliser, d’atteindre une prédictibilité des coûts et de disposer d’une sécurité efficace et suffisante, l’entreprise se montre rarement en mesure de définir des objectifs plus précis, une feuille de route, et encore moins de dresser la liste des outils à conserver.
On le serait à moins. L’exercice du choix éclairé requiert de maîtriser de multiples paramètres, de disposer d’une vaste connaissance de l’offre cyber disponible, de bien connaître le périmètre couvert, et bien sûr le coût réel à engager. La démarche en outre est généralement freinée par les traditionnels silos métiers que l’on s’efforce d’atténuer et qui semblent prendre un malin plaisir à se reformer dès que l’on a le dos tourné. Il n’y a pas de choix éclairé sans disposer d’une carte exhaustive. En d’autres termes, le conseil, l’analyse et l’audit externe demeurent des expertises tout à fait bénéfiques, à plus d’un titre.
Par quoi commencer ?
La certification ISO 27 001 est le canevas idéal pour prendre le pouls de l’entreprise, évaluer le niveau de risque en fonction de l’activité et du secteur et définir les objectifs. C’est également un point d’entrée approprié pour tous les collaborateurs puisqu’il énonce l’ensemble des règles d’hygiène cyber, ce socle élémentaire que l’entreprise doit maîtriser.
Au-delà des concepts et des bonnes pratiques partagées, la cybersécurité d’une entreprise est construite sur mesure pour elle, c’est important de s’en souvenir. C’est pourquoi on interrogera le business de l’entreprise, ses objectifs à court et moyen terme, ses prévisions de croissance qui impacteront nécessairement les règles mises en place et qu’il faudra faire évoluer selon un agenda.
ISO 27 001 n’est pas, en outre, une certification réservée à quelques-uns. Elle s’adresse à tout type d’entreprise, de la plus petite à la plus grande. Elle prépare avec beaucoup d’efficacité le terrain à d’autres réglementations, comme NIS 2, lesquelles se révèlent nettement moins douloureuses à mettre en œuvre une fois la certification acquise et le processus d’amélioration construit.
Enfin, la certification n’est pas non plus une fin en soi. L’entreprise peut choisir d’en suivre simplement la démarche afin de disposer d’un guide à la mise en place d’une sécurité adaptée à son activité et à son pilotage.
Faire de la place à la simplification
En matière de cybersécurité, le choix de solutions en SaaS ne va pas toujours de soi. L’On Premise continue d’être considéré comme plus sécuritaire. Pourtant, même les grands établissements financiers optent pour le Cloud public pour un grand nombre de leurs workloads.
C’est une question d’analyse risques/avantages et, n’en doutons pas, de psychologie. Si le hardware continue d’être vu comme un élément de cybersécurité, il est aussi très coûteux et manque cruellement de flexibilité. Toutes les organisations en ont fait l’expérience quand elles ont dû, en urgence, multiplier les concentrateurs VPN pour permettre à leurs collaborateurs de poursuivre le travail depuis leur domicile.
Si l’imprévisibilité reste le talon d’Achille de la cybersécurité, les choix historiques et la culture d’entreprise sont aussi à l’œuvre quand il s’agit de faire évoluer les pratiques. Ainsi, le réseau est un exemple courant de résistance à la modernisation vers des solutions as a service. Portées par des éditeurs mutualisant l’expérience sur des milliers de clients, de contextes, de secteurs, ces solutions profitent d’une expérience enrichie au service d’une cybersécurité inatteignable pour une organisation seule.
À défaut d’être un expert et d’évoluer dans le secteur concerné, il n’y a aucune raison de ne pas s’équiper d’outils facilitants et dont la sécurité est le métier de l’éditeur. Cela vaut pour le réseau, mais également pour le poste de travail, ou encore le stockage et la sauvegarde.
Par Simon AMIOT – Consultant Avant-Vente Cyber chez Stordata
