beebright - Fotolia
CIO Series - Spécial sécurité : les entreprises face à un paradoxe
Le n°4 de CIO Series prend cette fois-ci le pari de faire le point sur les problématiques sécuritaires auxquelles sont confrontées les entreprises. Dans un contexte d’ouverture prôné par la transition vers le numérique, quelle est la démarche à suivre lorsque finalement la prise de conscience en matière de sécurité n’est pas une évidence ?
Comment s’armer contre des menaces de plus en plus sophistiquées sans que, finalement, la prise de conscience des entreprises en matière de cyber-sécurité soit suffisamment affirmée ? C’est tout le paradoxe qui frappe aujourd’hui le monde de la cyber-sécurité. Si les entreprises doivent mener des politiques de transition vers le numérique pour garantir la pérennité de leurs activités et trouver l’oreille des consommateurs, rares sont celles qui finalement maîtrisent chaque maillon de la chaîne. Et l’un des maillons est justement celui de la sécurité. Pire, si les enjeux sont gigantesques, les sécuriser n’est que faiblement à l’ordre du jour.
Et pourtant : ce qui caractérise en partie la transition des entreprises vers le numérique, c’est justement l’ouverture des systèmes vers l’extérieur et leur capacité à gagner en agilité. L’exposition de ses systèmes internes sous la forme de services autonomes modulaires ( via des APIs par exemple) en est certes un des exemples premiers. Mais aussi leur capacité à s’inscrire dans une démarche mobile, plus proche des collaborateurs sur le terrain.
Si l’entreprise comprend donc les enjeux de l’ouverture, et n’est pas sans savoir que la protection du SI est indispensable, peu de responsables ont encore mis en place une politique adaptée pour sécuriser leur cœur d’activité devenu –donc – numérique. La faute aux RSSI, pointent certaines études, prétendant que les responsables de la sécurité peinent à communiquer leurs déboires auprès d’une direction générale peu enclin à écouter. Manque de maturité, soulèvent d’autres observateurs, pour qui la sécurité du SI reste encore trop une action mal maîtrisée.
SOC ou filiale dédiée ?
Faute d’expertise ? C’est une des questions que l’on pourrait finalement se poser. Certaines entreprises ont d’ailleurs fait le choix d’externaliser leurs opérations liées à la sécurité et de diriger indirectement leurs opérations de réponses aux incidents depuis l’extérieur, via des partenaires. D’autres, en revanche, ont fait le choix de créer en interne des équipes dédiées. Elles sont rassemblées au sein de divisions dont la tâche est de centraliser certes les talents, mais aussi de faire évoluer les compétences au même rythme que celles des attaques et des menaces. En clair, il s’agit là de cibler les besoins, d’inscrire la sécurité informatique dans une politique globale d’entreprise, mais aussi – et surtout – de l’inscrire en continu dans toutes les strates de l’entreprise, y compris au niveau des développements.
Renault et EDF ont bien décidé de centraliser leur défense au sein d’un centre dédié, les très tendance SOC (Security Operation Center). Capgemini et Orange se sont positionnés sur ce créneau en tant que prestataires de services, sentant une prise de conscience des entreprises. Le constructeur automobile allemand, Volkswagen, a quant à lui fait le choix de créer une filiale indépendante Cymotive Technologies qui sera pleinement dédiée à la cyber-sécurité de ses véhicules.
Ce sont bien ces thématiques que vous retrouverez au sein du n°4 de notre série CIO Collection, une publication PDF, téléchargeable depuis notre plateforme. Entièrement dédié au métier de DSI, ce format vise à faire le tour d’un thème et à alimenter les réflexions des directeurs d’informations qui aujourd’hui, dans ce contexte de transformation numérique, sont plus que jamais sous pression.
Bonne lecture !