Stratégies de sécurité : il est temps de changer de perspective

0

Avec la multiplication des menaces, les entreprises savent que leur programme de transformation numérique doit être étayé d’une stratégie de cybersécurité bien pensée. Pour y arriver, il est important de pointer un facteur essentiel : il se peut que les personnes les plus concernées par la stratégie de cybersécurité d’une entreprise ne fasse pas encore partie de leurs effectifs.

De nombreuses problématiques liées à la cybersécurité portent sur des menaces spécifiques telles que ransomware, vol de propriété intellectuelle, ou encore vulnérabilités en tout genre grâce auxquelles les cybercriminels accèdent aux réseaux des organisations pour causer des dégâts catastrophiques. Vient ensuite la protection des éléments composant l’environnement de travail. Il s’agit par exemple des applications essentielles de l’entreprise, de son infrastructure de messagerie et de collaboration, des services cloud, de son site et de ses applications e-commerce ou dans le secteur de la fabrication, des usines de production toujours plus connectées à Internet, mais souvent mal protégées au niveau de leur infrastructure technologique opérationnelle. Enfin, les collaborateurs sont généralement présentés comme des utilisateurs « crédules » cliquant sur les liens permettant aux cybercriminels d’accéder au réseau, ou comme des employés malveillants profitant de leurs accès pour envoyer des données sensibles hors de l’entreprise. Cependant, il est rare qu’on leur accorde l’importance qu’ils méritent, alors qu’ils jouent pourtant un rôle essentiel sur lequel tous les autres aspects doivent reposer. Après tout, ceux-ci travaillent avec toutes ces applications stratégiques et ces pools de données sensibles ; ils assurent l’activité de chaque entreprise. Les employés doivent absolument être au cœur des stratégies de sécurité.

Afin d’être en mesure d’élaborer une stratégie pérenne, les entreprises doivent se poser une question fondamentale : quels seront les besoins, et par conséquent les exigences de sécurité, de mes employés dans cinq ans ?

En 2027, le monde du travail sera bien plus digital encore qu’aujourd’hui, même dans des domaines que nous considérons comme difficiles à digitaliser, qu’il s’agisse d’usines, de services communautaires ou encore de l’agriculture. Déjà avant la pandémie, le travail digital s’orientait vers un modèle hybride, avec quelques jours ou heures passés au bureau et d’autres à domicile ou en déplacement. Les dernières générations de travailleurs à distance utilisaient déjà des appareils mobiles (parfois même leurs terminaux personnels) depuis longtemps pour accéder à un nombre croissant de services cloud et aux ressources de leur entreprise, où qu’ils se trouvent. La pandémie et les confinements ont simplement accéléré cette tendance et l’ont rendue plus évidente pour le grand public.

Ces digital workers, en particulier les professionnels hautement qualifiés que les entreprises s’arrachent dans la « guerre des talents » mondiale, insisteront de plus en plus pour être en mesure de travailler efficacement, mais aussi de manière pratique et sécurisée, quel que soit leur emplacement. Certains utiliseront leurs appareils personnels, d’autres préfèreront utiliser les équipements de l’entreprise, ou un mélange des deux. Parallèlement, la migration vers les services cloud va sans doute s’intensifier, et de nombreuses entreprises continueront également à déployer un nombre croissant d’applications à la périphérie de leurs réseaux. Il en résultera un environnement applicatif hybride de plus en plus complexe composé de technologies héritées sur site, d’applications cloud ou sur site modernes, d’applications mobiles et d’un ensemble dynamique de services cloud. Il faudra alors non seulement protéger les employés travaillant sur ces divers services et logiciels, mais aussi éviter l’utilisation d’applications et de services indésirables, ou du moins la surveiller étroitement.

En se basant sur les besoins de leurs employés de demain en matière de travail, de collaboration et d’utilisation, les décideurs peuvent s’attaquer à la question suivante : quels seront les risques de sécurité les plus probables et les plus critiques pour ces collaborateurs ? Par exemple, les employés les plus connus finiront tôt ou tard par subir des tentatives d’attaques ciblées par des cybercriminels, voire par des acteurs malveillants soutenus par un État. Tous les collaborateurs, des agents du centre d’appels aux RH en passant par le service financier, seront pris pour cible : dans de nombreux scénarios d’attaques, il suffit qu’une personne clique sur un lien malveillant pour compromettre l’entreprise.

Quel sera le degré de flexibilité et d’évolutivité requis pour permettre à l’architecture de sécurité de prendre en charge la nature dynamique de l’infrastructure hybride multi-cloud utilisée par ces collaborateurs dispersés ? Comment équilibrer leurs besoins de sécurité et la fluidité de l’expérience utilisateur, malgré la complexité des outils de sécurité et la lenteur d’accès aux applications et aux données qui poussent les collaborateurs à chercher des solutions de contournement qui nuisent à la sécurité de l’entreprise ? Comment surveiller en continu l’état de la sécurité sans risquer d’entraver la productivité et la motivation des équipes ?

Bientôt, la « nouvelle norme » sera tout à fait banale. Tous les digital workers, et pas seulement les personnes hautement qualifiées, devront pouvoir travailler de manière flexible, à distance, dans le respect de leurs besoins individuels et en toute sécurité. Ils voudront et devront décider par eux-mêmes ce qui convient le mieux à leur style de travail et à la tâche en cours. L’architecture de sécurité devra prendre en charge l’ensemble de ces besoins et exigences. Les décideurs devraient planifier en fonction de leurs effectifs de demain, au lieu de se concentrer sur les problèmes d’aujourd’hui, même si cela implique de planifier la sécurité de leurs futurs employés.

About Author

Darren Fields

vice-président Cloud Networking pour la région EMEA chez Citrix

Leave A Reply