Les facteurs humains sont essentiels pour assurer la transformation numérique ?

Securité informatique

 
S'approvisionner en technologies de cybersécurité de pointe pour soutenir les projets de transformation numérique, c'est bien beau, mais cela n'a aucun sens si vous ne tenez pas compte de votre culture organisationnelle et des personnes qui la composent

Les deux tiers des entreprises françaises affirment que les préoccupations en matière de cybersécurité les empêchent d'adopter de nouvelles technologies telles que l'informatique en nuage et l'Internet des objets, selon un rapport de 2019 d'Ernst & Young (EY).

La crainte que bon nombre des technologies passionnantes qui sous-tendent la transformation numérique risquent d'introduire de nouvelles vulnérabilités de sécurité devient un obstacle potentiel à l'innovation. De telles craintes sont-elles justifiées ? Ou indiquent-elles une réalité sous-jacente, à savoir que trop d'organisations n'ont tout simplement pas de stratégie de cybersécurité adéquate pour l'économie numérique ?

Lors du dernier Club CW500 de Computer Weekly, organisé en partenariat avec le recruteur Spinks, un panel diversifié de DSI, de directeurs de la technologie (CTO) et de directeurs de la sécurité de l'information (CISO) se sont réunis pour s'attaquer au concept souvent vague de la transformation numérique et à sa relation avec le monde de la cybersécurité.

Ils ont conclu qu'il s'agit autant de l'homme qui développe et utilise les TI que de s'assurer que l'on a acheté les produits de sécurité les plus récents et les plus performants.

Mais il est rapidement apparu que la question de la sensibilisation à la cybersécurité au sein de l'entreprise, du positionnement des équipes de sécurité informatique et de l'acceptation culturelle plus large de l'hygiène en matière de cybersécurité était au premier plan pour bon nombre des personnes présentes autour de la table.

Pour les grandes entreprises, la collaboration interne est essentielle

Airbus CyberSecurity est une unité commerciale au sein du géant de la construction aéronautique qui fournit des services et des produits de sécurité aux clients externes, mais qui fournit également des services et des produits aux activités internes.

Airbus dispose de ses propres organisations de sécurité, avec un responsable de la sécurité pour chacun de ses quatre pays d'origine - France, Allemagne, Espagne et Royaume-Uni - et des ressources supplémentaires dans chacune de ses unités opérationnelles.

Pour son directeur technique, Paddy Francis, qui a débuté sa carrière dans les communications gouvernementales, l'un des principaux problèmes est le rythme des changements dans le paysage informatique au sens large, et le fait que dans de nombreuses entreprises, les différents secteurs d'activité ont désormais une grande liberté d'action.

En termes plus humains, plusieurs personnes avec des agendas multiples et des outils préférés multiples travaillent maintenant dans plusieurs parties de l'entreprise, et cela introduit de la complexité - c'est troublant si, comme Francis, vous venez d'un milieu informatique plus traditionaliste.

Il met en avant un mantra que beaucoup de personnes dans le secteur du cyberespace ne connaissent probablement que trop bien : "Vous ne pouvez pas protéger ce que vous ne comprenez pas."

Sans entrer dans les détails, il cite l'exemple d'un déploiement de service qui s'est fait à la hâte et qui a laissé l'équipe de sécurité essayer de trouver comment la protéger après coup.

" C'est le cas de tous les nouveaux systèmes, chaque fournisseur de cloud a un système différent, des configurations différentes, des niveaux de complexité différents. Ainsi, si vous utilisez un nouveau service de cloud, même s'il s'agit d'un simple Google Cloud, vous devez intégrer la sécurité dès le début ", explique Francis.

" La configuration et la mise en place de cela est une activité de sécurité, pas seulement une activité d'ingénierie. C'est donc de là que viennent la plupart des problèmes que je vois - des gens qui ne comprennent pas la complexité, qui ne comprennent pas les enjeux. "

" Typiquement, sur certains de ces systèmes, pour que cela fonctionne, il faut peut-être changer 10 % de la configuration par défaut. Pour le rendre sécurisé, vous devez comprendre les autres 90%."

Pour les Stratups, le défi est le code

Jonathan Moreira, directeur technique de Primarybid.com, déclare qu'il voit des défis très différents pour une entreprise de l'envergure d'Airbus.

Primarybid.com a été créé dans le but de démocratiser l'investissement pour l'homme sur le Clapham-omnibus. Grâce à des partenariats avec des bourses du monde entier, elle a mis en place une infrastructure centralisée qui met en relation les sociétés cotées en bourse avec les investisseurs ordinaires, dans le but d'améliorer le "processus de formation du capital" - c'est-à-dire de lever des fonds. Jusqu'à présent, elle a levé plus de 65 millions de livres sterling.

Mais dans le monde des start-ups, les choses vont vite, et cela signifie que Moreira n'a pas nécessairement le temps ou la capacité de se pencher sur chaque décision informatique.

"Comment nous assurer que les développeurs que nous avons sont suffisamment compétents pour construire des systèmes à l'échelle qui sont sûrs tout en évoluant à un rythme rapide ? Comment nous assurer que le code est sécurisé, et que personne ne fait d'erreur stupide ? C'est le genre de choses qui peuvent vraiment vous coûter cher ", dit-il.

La question de la sécurisation du processus de développement, par laquelle il entend les développeurs, est clairement au cœur des préoccupations de M. Moreira, surtout à la lumière de la récente violation des données de Capital One, causée par un ingénieur logiciel externe.

Pour alléger la charge, Moreira a mis en œuvre un grand nombre de fonctionnalités automatisées et d'outils qui déploient une certaine fonctionnalité d'apprentissage machine pour détecter si quelque chose est bon, mauvais ou se comporte juste un peu bizarrement.

Il effectue régulièrement des scans de code et des tests de pénétration automatisés nocturnes, en plus des audits réguliers de tests de pénétration Crest.

De cette façon, dit-il, il peut détecter les problèmes qui pourraient découler d'une activité de développeur négligente ou malveillante dans la brève fenêtre d'opportunité qui existe avant que le problème ne devienne un incident de sécurité des données à part entière.

"Il y a des limites à ce que l'on peut faire, mais il s'agit de scanner ces choses, d'avoir tous ces différents outils ", dit-il. "Et le reste est de la pratique de codage. Assurez-vous que vos développeurs sont au courant des différentes validations - en particulier à l'arrière-plan où vous ne pouvez jamais trop en faire - et surtout sur les services critiques."

"Identifiez où se trouvent vos services critiques et ouvrez la validation car beaucoup d'attaques peuvent également provenir d'attaques indirectes d'objets, comme l'exposition d'une API [interface de programmation d'application]. Peut-être que c'est interne, peut-être que personne ne le sait vraiment, mais le développeur n'a pas validé pour cela".

Équilibrer la sécurité et l'innovation

La discussion entre les experts en sécurité a porté sur la façon de construire une solide posture de sécurité dans l'entreprise tout en permettant la liberté d'innover dans les nouveaux environnements numériques. Pour Moreira et Francis, qui travaillent beaucoup avec les équipes techniques, il s'agit de créer une culture dans l'organisation informatique qui donne la priorité à un travail absorbant et de pointe.

Dans des organisations telles que Primarybid.com, qui se concentre sur les technologies innovantes, et Airbus CyberSecurity, qui se concentre sur la chasse aux menaces et la défense, ce n'est pas une tâche si difficile.

Mais lorsqu'il s'agit d'autres parties de l'organisation, il est peut-être encore plus important d'obtenir l'adhésion à la sécurité. Alors comment faire pour rendre la sécurité intéressante pour les ventes, la finance, le marketing ou les ressources humaines ?

" Cela dépend vraiment de votre industrie ", dit Moreira. " Vous allez avoir différents intervenants avec différents niveaux d'éducation. Pour moi, il s'agit juste d'essayer de faire des petits pas pour les éduquer, leur montrer la valeur et les risques."

Francis d'Airbus ajoute qu'il est essentiel de démystifier les produits de sécurité que vous proposez aux utilisateurs réguliers - ce que son organisation recherche activement. Par exemple, dit-il, il est important de comprendre comment l'interface utilisateur (UI) affecte le comportement des utilisateurs, et de s'assurer qu'elle ne pousse pas par inadvertance les utilisateurs dans des comportements incorrects.

"Nous avons découvert que si vous verrouillez tout pour que personne ne puisse rien faire, ils trouveront un moyen de contourner la situation, qui est très peu sûre ", dit-il.

S'assurer que les employés " obtiennent " la sécurité

Chris Charlton, responsable de l'infrastructure et de l'architecture de la police métropolitaine, estime qu'il est essentiel d'intégrer la cybersécurité dans la culture organisationnelle.

"Nous avons constaté que si vous parlez d'architecture de sécurité, il ne s'agit pas seulement d'un peu d'antivirus ou de pare-feu, mais de culture, en s'assurant que les gens la comprennent ", dit-il.

"Il ne s'agit pas seulement de suivre un cours et de s'assurer de ne pas pirater des choses, il s'agit en fait de savoir que ce sont les menaces. Vous devez intégrer votre personnel dans votre processus de sécurité. "

" Cela ne veut pas dire que vous n'avez pas toutes ces autres choses, mais il s'agit d'établir des couches et d'aider les gens à comprendre pourquoi ils doivent faire des choses. Si les gens savent pourquoi ils ne sont pas autorisés à faire ce qu'ils font, alors ils ne le font pas ", ajoute-t-il.

"Vous devez vous assurer que vos employés savent pourquoi ils font cela. Nous mentionnons des choses comme l'accès basé sur les rôles pour s'assurer que les gens ont tout simplement accès à ce dont ils ont besoin. C'est une bonne pratique de travail, pas une pratique de sécurité."

Sarah Shilling, directrice du marketing de l'organisation de services marketing Unlimited Group, ajoute : " Vos employés sont vos meilleurs défenseurs et votre meilleure sécurité, donc s'ils ne sont pas au courant de tout, alors tout est imparfait. Vous êtes seulement aussi fort que votre point faible, et si c'est un employé, alors vous êtes imparfait peu importe le logiciel de sécurité que vous utilisez".

Neil Batchelor, directeur de l'exploitation de Lacero, un fournisseur de services d'authentification, de vérification et d'application des politiques de sécurité, déclare : " C'est pourquoi ils ont inventé l'expression SecOps [opérations de sécurité]. De la même façon qu'ils ont inventé DevOps, parce qu'à un moment donné, vous aviez le silo de développement et le silo d'opérations et cela s'est un peu rapproché - maintenant vous avez SecOps, qui essaie d'intégrer toutes ces choses".

Le changement commence au sommet et à la maison

Carl Henriksen, PDG du fournisseur de services gérés Oryx Align, soutient que le changement culturel doit commencer dans la suite C et se propager vers le bas. "Il doit vraiment venir du conseil d'administration ", dit-il. "La seule façon de toucher les employés est de l'adopter du haut vers le bas."

Mais, ajoute Henriksen, cela peut aussi être une mission. "Le problème avec les membres du conseil d'administration est qu'il semble y avoir un énorme manque de connaissances en matière de cybersécurité ", dit-il.

Mais le Shilling d'Unlimited a une autre théorie : " Nous sommes tous des consommateurs, nous sommes tous des gens, nous sommes tous des humains. Nous détestons quand on nous pirate, quelles que soient les plateformes que nous utilisons ", dit-elle. "C'est prendre ça et le mettre dans le monde des affaires."

Francis est d'accord que le fait de relier la sécurité à la vie des gens peut aider. " L'un des moyens de sensibiliser les gens est de leur donner les informations nécessaires pour protéger leurs propres réseaux à la maison ", dit-il. "Ensuite, ils réalisent ce qui pourrait leur arriver et ils ramènent ça sur leur lieu de travail."