Failles de sécurité : menace la plus importante de votre entreprise ?

En 2018, les technologies de l'information ont beaucoup attiré l'attention des media, et pas dans le bon sens. Plus d'un milliard de personnes ont vu leurs données personnelles exposées en raison de failles de sécurité. Facebook, T-Mobile, Quora, Google, Orbitz, et des dizaines d'autres entreprises ont vu les données personnelles de leurs clients compromises. À part l'impact financier immédiat d'une violation (autour de 3,86 millions de dollars par incident), l'atteinte à la réputation et la perte de confiance des clients peut entraîner une baisse du chiffre d'affaires considérable avec le temps.

Lorsqu'une violation a lieu, pour le conseil d'administration c'est souvent la direction IT qui est responsable. Suite au piratage des magasins Target en 2013, la société a fait face à de vives critiques concernant ses pratiques en matière de traitement des données, ayant conduit à la démission de leur DSI l'année suivante. Avec tant d'enjeu, il n'est pas étonnant que la sécurité et la gouvernance demeurent les priorités principales de l'IT.

Mais, si elles font la une des journaux, les violations de la sécurité ne sont pas la seule menace pour l'entreprise. Il y a un autre danger, plus subtil, qui peut avoir un impact aussi important et des conséquences durables : une gouvernance trop rigide qui inhibe la créativité et l'innovation.

La sécurité ou l'innovation

Les entreprises doivent se projeter dans le futur et se tourner vers des solutions dont elles pourront tirer parti pendant plusieurs années ou décennies, tout en suivant le rythme d'un marché qui évolue rapidement. La direction IT peine à trouver le bon équilibre entre la protection de leur organisation et la flexibilité nécessaire pour permettre une innovation rapide.

Selon l'étude Harvey Nash/KPMG CIO, réalisée en 2018, l'amélioration de la cybersécurité est l'un des domaines de l'entreprise auxquels on accorde actuellement une plus grande priorité (avec une augmentation de l'intérêt de 23 %). Avec la menace constante de failles de sécurité, les directeurs IT se sont empressés d'éliminer tout facteur de risque éventuel. Contrairement aux directeurs marketing, impatients de tirer profit des nouvelles technologies pour résoudre leurs problèmes, les directeurs IT sont souvent vus comme des rabat-joie, inhibiteurs d'innovation.

Dans un article Inc.com, le collaborateur Geoffrey James défendait que le fait de freiner les progrès était inévitable pour beaucoup de DSI :

« Dans les années 70, les DSI se sont accrochés aux mainframes d'IBM, alors que les micro-ordinateurs étaient moins chers et fonctionnaient avec de meilleurs logiciels.

Dans les années 80, les DSI se sont accrochés aux terminaux texte, au lieu d'accueillir les PC et les Mac que les gens voulaient utiliser.

Dans les années 90, les DSI se sont accrochés aux applications client-serveur et se sont opposés d'une manière générale aux applications basées sur le cloud (telles que Salesforce.com), que l'on trouvait sur Internet.

Dans les années 2000, les DSI se sont accrochés aux systèmes ERP, trop compliqués, et aux PC alors que leurs utilisateurs s'empressaient d'utiliser les smartphones et les tablettes. »

Mais parallèlement, les CSI et les directeurs IT ont été chargés, par les conseils d'administration, de la promotion de l'innovation, de la créativité et de l'expérimentation. Il s'agit donc d'un véritable exercice d'équilibrisme ; et le fait que d'autres départements, notamment des cadres, adoptent de nouvelles technologies en dehors du département IT ne facilite pas les choses. Que peuvent donc faire les directeurs IT pour satisfaire à leurs obligations tout en encourageant leurs organisations à aller de l'avant ?

De gestionnaires de la technologie à impulseurs d'innovation d'entreprise

On est loin de l'époque où les directeurs d'entreprise définissaient la stratégie et où le travail du département IT était de la mettre en œuvre. Un mauvais choix en matière de technologie, d'intégration ou de partenaire peut avoir des conséquences affectant l'entreprise pour de nombreuses années. Un changement radical s'est opéré, les responsables IT et sécurité exerçant aujourd'hui un rôle consultatif plus actif.

« À partir de la fin des années 90, et surtout ces 10 dernières années, la direction IT et sécurité a joué un rôle de premier plan dans la prise de décision de l'entreprise », explique Lucas Szymanowski, directeur des systèmes d'information chez Wrike.  « À mesure que les programmes de sécurité et de conformité organisationnelles évoluent, l'organisation de la sécurité a une influence déterminante dans le choix des partenaires, des fournisseurs et dans la définition des paysages technologiques. »

Les directeurs IT ont non seulement la possibilité de maintenir et de protéger les données et l'infrastructure de la société, mais aussi d'aider les organisations à prendre des décisions importantes et à investir dans une technologie pouvant avoir un impact sur la stratégie concurrentielle globale. Les directeurs IT ne sont pas seulement chargés de la création des systèmes techniques sur lesquels reposent les entreprises, ils sont de plus en plus responsables des résultats commerciaux que ces systèmes peuvent aider à produire.

Nous vivons un grand moment, une occasion unique pour les directeurs IT de renforcer leur influence, d'augmenter leur valeur et de se positionner comme partenaires professionnels stratégiques.

Dans l'étude Harvey Nash/KPMG, menée en 2018 sur les DSI, Bridget Gray, directrice générale chez Harvey Nash Australia, s'est exprimée ainsi à ce sujet :

« La créativité et la gouvernance ne font pas bon ménage. Mais la force du DSI viendra de sa capacité à trouver le bon équilibre entre les deux. »

Pour que la transformation soit réussie, les directeurs IT doivent adopter, en matière d'évaluation de la technologie, une approche impartiale, axée sur l'entreprise, protégeant l'organisation sans freiner l'innovation.

3 questions que les directeurs IT doivent se poser lorsqu'ils évaluent de nouveaux outils

1. Quel est le but de l'outil et comment s'intègre-t-il au reste des outils techniques ?

Chaque nouveau logiciel ou technologie ajoute une complexité nouvelle aux systèmes existants et en perturbe l'équilibre. En règle générale, il vaut mieux réduire le nombre de pièces mobiles, si cela est possible.

« On peut faire une comparaison avec la danse de la chenille... la chenille de la technologie et de la sécurité », explique Szymanowski.  « Dans la chenille de la technologie, tout vous éloigne des fonctionnalités principales et des données que vous protégez. Plus on a besoin de fonctionnalités, plus on ajoute de nouveaux outils, de nouveaux appareils et de nouveaux processus à la chaîne. Si cela peut s'avérer fonctionnel et nécessaire à court terme, cela ajoute de la complexité qui peut potentiellement devenir un risque et une faiblesse. A chaque nouvel élément de la chenille, vous devez avoir une approche structurée de la manière dont vous définirez les exigences, tout en effectuant une surveillance et une gestion de la sécurité pour chacun d'eux. Si vous pouvez réduire deux fonctions en une seule, c'est une des meilleures solutions. »

Lorsque l'on se concentre trop sur la croissance et l'exécution, les problèmes surviennent.

« Le danger vient d'un manque de vision à long terme. On le fait (on installe une fonctionnalité) parce que l'on a besoin de faire telle ou telle chose. » Cela ne donne pas trop envie de rallonger la chenille. À un moment ou à un autre, vous allez intégrer quelque chose qui viole la loi, affecte négativement la sécurité des données, ou pire, qui affaiblit des systèmes jusque-là solides.

2. Qui est à l'origine de l'outil et quelle est sa réputation ?

L'origine du logiciel compte. Un logiciel offrant une faible compatibilité, développé par une équipe qui n'inspire pas confiance et qui n'est pas solidement établie peut être un gros problème.

« Vous devez bien étudier vos partenaires logiciel », explique Szymanowski.

« Ce chouette programme développé par une petite équipe pourrait être l'élément sur lequel vous bâtissez votre infrastructure. Si cet élément n'est pas bien pensé, pas bien conçu, ou que le code du logiciel n'est pas sûr, cela pourrait nuire à votre entreprise, même si le concept technologique est solide.  Une technologie de qualité peut être le fruit du travail d'une petite équipe. HP a bien démarré avec 2 personnes dans un garage ! Mais que se passerait-il si dans quelques années, votre équipe de 2 personnes développant ce qui est devenu votre logiciel principal se retrouvait dans une impasse et devait fermer boutique ? Que se passerait-il si l'un d'eux décidait de prendre toutes ses données et de passer à autre chose ? Cela pourrait avoir des conséquences désastreuses. »

Vous pouvez sentir une pression vous poussant à adopter le dernier outil ou appareil le plus vite possible, mais des décisions hâtives peuvent entraîner de nombreux problèmes à long terme.

3. A-t-on pensé à former les utilisateurs sur les meilleures pratiques en matière de sécurité ?

La grande majorité des cas, les violations et les incidents n'ont pas lieu en raison d'une technologie compromise, mais découlent d'une erreur humaine. Les directeurs IT doivent considérer la formation interne comme partie intégrante de l'infrastructure de sécurité. Les politiques et les bonnes pratiques en matière de sécurité doivent être mises à la disposition des employés. Une culture de sensibilisation aux risques, de formation et de responsabilisation doit être cultivée et créée dans l'ADN d'une organisation.  

« Le cloud a été le plus grand changement », explique le conseiller en sécurité et consultant en matière de systèmes d'information Dustin Bolander. « Avec Dropbox, Google Apps, etc. rien n'est plus facile pour un document de sortir d'une organisation. N'importe quel utilisateur dans une entreprise peut aujourd'hui mettre en place un service et stocker des données sur le cloud en quelques minutes. Cela a changé la donne : on ne se repose plus sur des protections techniques, on doit désormais concentrer les efforts sur la sensibilisation des utilisateurs et la formation en matière de sécurité. »

Vu le rythme auquel avance et évolue la technologie, proposer des formations sur les meilleures pratiques en matière du traitement des données et sur la sécurité peut être le meilleur moyen pour une organisation de prévenir des failles de sécurité coûteuses. Notre fondateur et PDG, Andrew Filev, présente quelques bonnes pratiques sur la confidentialité des données ici.

La sécurité est ce qui fait toute la différence

Les entreprises doivent plus que jamais placer la sécurité au cœur des priorités et la prendre en compte dès le début du processus de sélection des fournisseurs. Les violations de données seront toujours une menace, mais le vrai danger est de restreindre la capacité d'innovation des équipes. Les organisations doivent envisager des moyens sûrs pour permettre l'ouverture et la créativité sans compromettre la sécurité.

Les clients exigent que leurs données soient en sécurité. Pour Facebook, le coût de la mauvaise gestion des données et de la sécurité a été estimé à plus d'1 milliard de dollars. Chaque élément de vos logiciels a la possibilité de compromettre les données et de nuire à votre organisation, il convient donc de s'en tenir à des normes de protection élevées.

Chez Wrike, nous n'appliquons pas seulement des normes de sécurité, nous sommes les premiers à les avoir établies. Notre engagement en matière de sécurité ne se résume pas à s'équiper des dernières nouveautés. Nous faisons tout notre possible pour assurer la sécurité des données de nos clients car nous savons que leur réussite dépend de nous. Et avec les nouvelles fonctionnalités telles que Wrike Lock, nos utilisateurs ont désormais un contrôle inégalé sur leurs données dans le cloud.

Toutes ces fonctionnalités en matière de sécurité visent un même objectif : permettre une collaboration sans faille. Les équipes délocalisées peuvent gérer leur travail de façon collaborative facilement, car elles savent que leurs données sont protégées par le chef de file en matière de sécurité sur le cloud. Êtes-vous prêt à donner à votre équipe les moyens d'innover malgré la distance ? Commencez votre essai gratuit aujourd’hui.

Photo de Sebastiaan Stam sur Unsplash

Commentaires 0

Oups ! Ce contenu n'est accessible que si vous acceptez les cookies.

En savoir plus.