L’adoption généralisée du cloud a familiarisé les cadres dirigeants et les membres des comités exécutifs à l’idée de payer leurs ressources informatiques « à la demande. » Passer à ce mode de consommation offre des bénéfices financiers et opérationnels largement compris qui mettent en avant l’agilité, la transformation numérique et l’adaptabilité.
Les principaux fournisseurs de services cloud comme Amazon Web Services (AWS), Microsoft et Google utilisent tous des unités de paiement de plus en plus petites, permettant à leurs clients d’accéder à leurs services suivant leurs besoins. Par exemple, AWS s’avère particulièrement agressif dans la formulation de ses modes de consommations, en facturant ses clients pour des services utilisés à la seconde près. Les directeurs exécutifs devraient suivre et demander des comptes à leurs DSI si celles-ci n’ont pas choisi d’adopter le cloud comme ces plates-formes permettent de tels changements dans les modes de consommation. Passer d’un investissement élevé et monolithique à un modèle de consommation et de paiement à la demande avec des possibilités infinies est clairement la solution d’avenir, alors que l’agilité numérique apparait de plus en plus comme un avantage compétitif clé.
Cependant, la cybersécurité reste, hélas, largement enracinée dans un modèle de passation de marché et de déploiement qui a souvent pour conséquence de créer des silos de sécurité surdimensionnés et difficiles à administrer. Le point important ici est que la sécurité a non seulement besoin de réagir en temps et en heure, mais également de s’adapter. La capacité maximale n’est pas toujours nécessaire. Ce changement dans le mode de consommation — des gros investissements matériels à un modèle de paiement à la consommation — est crucial.
Franchir le fossé
Nous discutons tous du besoin qu’ont les cadres dirigeants et les directeurs techniques d’être en harmonie en ce qui concerne les priorités à mettre en place pour le déploiement des ressources et services IT pour atteindre les principaux objectifs commerciaux. Mais de plus en plus souvent, nous rencontrons des cas où les deux camps se font face et abordent la situation sous deux angles totalement différents.
Lors d’une récente conférence à laquelle j’assistais, j’ai entendu que 67 % des cadres dirigeants et membres des comités exécutifs poussent, et même insistent pour que leurs DSI, RSSI et autres directeurs techniques fassent évoluer leurs services et leurs approches de façon plus rapide et agressive. Les comités exécutifs ont adopté la transformation numérique, et ils veulent que leurs sociétés s’y engagent plus vite que leurs concurrentes.
Mais d’autres enquêtes auprès des RSSI montrent que la plupart des responsables de sécurité informatique craignent que les choses aillent trop vite pour qu’ils aient le temps d’en évaluer correctement les risques et leurs conséquences. Pour la sécurité, cela signifie que les directeurs exécutifs veulent non seulement déployer des applications dans le cloud, mais également des services informatiques vitaux, comme la sécurité, pour se prévaloir de tous les bénéfices du cloud. Les cadres dirigeants et les membres des comités exécutifs sont devenus de fervents adeptes de la notion d’IT « jetable », qui impose des contraintes moindres aux entreprises tout en fournissant une plus grande agilité et, pourquoi pas des économies. De nombreux RSSI conservent un état d’esprit plus traditionnel en achetant des licences pluriannuelles pour la sécurité, en s’appuyant de nombreux tests, calculs de risque et une prise de décision méthodique.
Comment les entreprises devraient-elles combler le fossé entre les instructions pour « aller plus vite » des comités et la logique de prudence face aux risques des DSSI ?
Le mode de consommation de la sécurité
Les modes de consommation de la cybersécurité doivent se calquer sur les modes de consommations informatiques, avec une attention plus particulière sur les comportements d’utilisation réels et la façon dont la sécurité cartographie les services informatiques. Par exemple, si votre organisation a adopté un process DevOps, votre consommation informatique et vos besoins de disponibilité peuvent changer toutes les semaines, tous les jours ou même en quelques heures. La consommation en cybersécurité doit s’aligner avec des tendances d’utilisation de l’IT.
Il peut être utile de comparer cette méthode à un trépied. Premièrement, il y a un besoin opérationnel ; deuxièmement, les développeurs construisent la solution correspondant à ce besoin ; et troisièmement, la sécurité doit être liée à ces cycles de développement et de production. Malheureusement, le DevOps, jusqu’à présent, n’inclut pas ce pilier de sécurité. Les enquêtes montrent que près de 80 % des entreprises ont adopté le DevOps, mais qu’elles sont nettement moins nombreuses à avoir adopté le DevSecOps.
Les cycles de DevOps s’accélèrent de jour en jour. Les directeurs exécutifs demandent des adaptations en temps réel du logiciel pour s’adapter aux besoins opérationnels, et la sécurité doit suivre le rythme. Autrement, les scénarios et besoins DevOps auront déjà changé plus d’une fois avant que l’équipe en charge de la sécurité ne trouve la solution adaptée à ce qu’il fallait hier. C’est pourquoi il faut passer du DevOps au DevSecOps, où la sécurité fait partie intégrante du processus DevOps.
Si votre RSSI n’est pas capable de prendre sa place dans ce processus DevOps, alors il ou elle devra se préparer à avoir une longue explication avec le comité exécutif. La réalité est que le business se fera sans leur aide.
Vous n’êtes jamais trop agile
Adopter un mode de consommation de la cybersécurité à la demande vous permet d’avoir l’agilité, la capacité de réaction et l’optimisation des coûts nécessaires au développement applicatif et aux cycles de déploiement actuels. Les entreprises encore hésitantes à franchir ce cap risquent de faire des investissements trop lourds financièrement en matière de sécurité, et de se retrouver coincées pour s’adapter rapidement à l’émergence de nouveaux risques.
Ainsi, j’ai récemment rencontré un DSI qui voulait changer le datacenter de sa société et il m’a parlé du temps anormalement important que cela a pris pour refaire l’architecture, obtenir les autorisations et lancer le projet. Tellement de temps qu’aujourd’hui, le datacenter est déjà dépassé. Se retrouver empêtré dans des investissements monolithiques à long terme n’a plus aucun sens si vous voulez rester compétitifs dans des secteurs de plus en plus numérisés.
Ce qui nous ramène à ce fossé entre le métier et la technique en ce qui concerne les solutions de sécurités. La plupart des dirigeants exécutifs savent qu’ils n’ont pas les compétences en matière de cybersécurité, et s’appuient donc sur leurs RSSI pour la stratégie et l’opérationnel. Mais ils savent également que : leurs données, leurs processus métiers et commerciaux, leurs brevets et tout ce qui peut leur procurer un avantage commercial doivent être protégés des cybermenaces. C’est bien sûr ce que veulent aussi les RSSI, mais ils veulent souvent que cette protection vienne d’une solution haut de gamme. Les dirigeants exécutifs estiment souvent que c’est de la dépense trop importante qui prend en plus trop de temps à être mise en place.
Le nouveau modèle de consommation agile permet aux entreprises de se doter d’une cybersécurité abordable à la pointe de l’innovation et s’adaptant rapidement à leurs besoins de transformation numérique et demandant toujours plus d’agilité.
Un monde en évolution
Si votre société va adopter l’IT « jetable » comme nouveau paradigme pour sa transformation numérique, et que vous souhaitiez y intégrer la sécurité informatique, ce monde mouvant peut mettre la pression sur votre RSSI pour garder le rythme. Mais ce changement n’a pas besoin de se transformer en épreuve, surtout si vous comptez également un modèle de consommation « à la demande » pour la sécurité.
Souvenez-vous : le but est de découvrir et de réparer les failles avant qu’elles ne soient utilisées et de le faire dans un environnement en évolution rapide constante et avec un nombre croissant d’adversaires rusés qui peuvent devenir extrêmement couteux à contrer en ressources humaines et en argent. Comme expliqué ci-dessus, la cybersécurité doit devenir le troisième pilier du trépied. La sécurité à la demande apporte de l’agilité, réduit les coûts et peut réduire également le temps de réponse (comme elle n’a pas de limite à son étendue). Ce mode de consommation fonctionne parfaitement pour le cloud et l’IT, il n’y a aucune raison pour cela ne soit pas le cas pour la cybersécurité.
