Convergence et Consumérisation de l’IT : Vers une Nécessaire Nouvelle Approche de la Sécurité Informatique

Par :
Yann Pradelle

mar, 21/06/2011 - 13:51

La sécurité informatique évolue rapidement vers une nouvelle phase dans laquelle la technologie n’est plus le seul élément de réflexion dans la protection de l’environnement IT de l’entreprise. De plus en plus, les entreprises sont obligées de gérer une relation tripartite entre personnes, process et technologies. Par Yann Pradelle – Vice-Président Régional Europe du Sud et Afrique chez Fortinet.

En effet, la montée en puissance des tendances de la convergence technologique et de la ‘consumérisation’ de l’IT obligent les entreprises à revoir leurs stratégies de sécurité informatique afin de se protéger de ces nouvelles technologies tout autant qu’elles cherchent à en bénéficier.

 

La convergence change la donne

L’informatique, de par son adoption généralisée, est devenue un élément essentiel de productivité et de profit pour les entreprises. Les avancées technologiques sont sources d’avantage concurrentiel et contribuent à l’innovation des entreprises, poussant les concepts business et IT à bientôt ne faire plus qu’un.

En parallèle, alors que les organisations sont de plus en plus dépendantes des technologies qu’elles utilisent, elles doivent reconsidérer leur approche de la sécurité pour une plus grande convergence afin de faire face à des attaques Internet plus complexes et de pouvoir couvrir un plus grand nombre de points de vulnérabilités.

 

La consumérisation de l’IT augmente la menace

Avec l’émergence rapide des technologies Web et cloud, ainsi que la prolifération des appareils mobiles dans le milieu professionnel, les entreprises doivent faire face à de nouvelles questions de sécurité liées à davantage de liberté du côté de l’utilisateur et à une perte de contrôle du côté des entreprises. En d’autres termes, celles-ci doivent réussir à rester au niveau des dernières tendances que les employés amènent dans le domaine de l’entreprise.

L’autre menace réside dans le fait que les différents rôles de l’individu convergent entre les domaines professionnels, personnels et publics. Les progrès technologiques réalisés en matière de connectivité instantanée et de communication mobile ont permis aux employés de combiner plus facilement leurs différents rôles dans la société, que ce soit par le travail à domicile, sur les trajets ou tout simplement en surfant sur le Web au bureau.

Pour établir le juste équilibre entre donner plus de pouvoir aux employés et leur donner trop de liberté, les entreprises doivent adopter une stratégie de sécurité informatique plus centrée sur l’utilisateur. Au-delà d’une approche de la sécurité basée sur l’infrastructure ou l’information, elles doivent penser à réduire les risques de sécurité du côté de l’utilisateur final et veiller à ce que le contrôle reste du côté de l’administrateur informatique, plutôt que du côté des employés eux-mêmes.

 

Adopter les meilleures pratiques en matière de sécurité

Frost & Sullivan, dans une étude commanditée par Fortinet, a affirmé que les pratiques de sécurité informatique doivent davantage considérer les activités commerciales de l’entreprise et les personnes. En d’autres termes, les sociétés doivent adopter une approche plus axée sur les risques et sur l’organisation dans son ensemble, ce qui les amènent donc à devoir réévaluer leur approche de la sécurité informatique, tant d’un point de vue stratégique que tactique. Voici ce à quoi les organisations devraient se concentrer :

 

  • Invoquer une réflexion stratégique

Les entreprises doivent considérer la sécurité informatique dans une perspective de gestion des risques, plutôt que de la traiter comme une question purement technologique. Ce n’est qu’en adoptant une telle approche que les entreprises pourront proactivement utiliser la sécurité informatique pour réduire les risques liés à leurs activités.

 

Les entreprises devraient également examiner la sécurité informatique dans une perspective de gouvernance d’entreprise. Elles peuvent commencer par aligner sécurité informatique et process, et veiller à une meilleure intégration avec les directives de contrôle interne. Egalement, le personnel devrait être tenu responsable de ses actes en matière d’utilisation en informatique ; il devrait savoir ce qu’il faut protéger et ce qu’il doit faire pour le protéger. Des process devraient également être mis en place pour éviter que des incidents se produisent, tout comme la technologie devrait être utilisée pour réduire, plutôt que de favoriser, des événements tels que la perte de données et le vol de la propriété intellectuelle.

 

  • S’adapter à un environnement dynamique

Avec l’arrivée du mobile et du cloud computing, le réseau de l’entreprise de demain est susceptible de voir son périmètre évoluer de nouveau. Le service informatique devra s’assurer que ses positions de sécurité sont constamment en ligne avec l’évolution du paysage du réseau. Avec un grand nombre d’utilisateurs mobiles ayant une connectivité et un accès réseau instantanés, les entreprises devront adopter des technologies de sécurité intelligentes, permettant de protéger le périmètre dynamique du réseau de l’entreprise.

 

  • Garder un oeil sur le facteur humain

Les entreprises font face à un problème de sécurité grandissant : celui des comportements plus risqués des utilisateurs. Elles doivent trouver un juste équilibre dans le pouvoir donné à leurs employés pour s’assurer que la technologie ne crée pas plus de risques pour l’organisation. Plus important encore, les entreprises devraient utiliser des solutions de sécurité permettant de mieux prendre en compte l’environnement de leurs utilisateurs finaux et de déterminer l’ensemble des comportements informatiques à risques.

 

Par conséquent, les entreprises devraient opter pour une stratégie de sécurité qui se situe au niveau de l’individu. Cela inclut la création de différents profils de risques en fonction des individus ou groupes dans l’entreprise. En effet, l’exposition aux risques de sécurité informatique pour un employé travaillant dans le département finance sera totalement différent de celui qui gère les opérations. Les entreprises ont besoin d’établir et de définir des paramètres d’accès, d’utilisation et de filtrage basés sur des attributs tels que l’identité de l’utilisateur ou les applications spécifiques utilisées pour la transmission du contenu, afin d’assurer l’intégrité de leurs systèmes.

 

Une approche unifiée pour la sécurité de l’entreprise

Alors que la sécurité informatique joue un rôle de plus en plus important au sein des entreprises, les solutions de sécurité devraient adopter une approche multi-facettes. L’attrait pour les plates-formes convergentes va s’intensifier par le fait que les entreprises vont rechercher une couverture de sécurité plus complète pour leur environnement IT.

A l’avenir, l’élément essentiel en matière de convergence de la sécurité va résider dans la capacité des différentes fonctions de sécurité à communiquer entre elles et à créer une synergie intelligente au travers d’une plateforme intégrée. En outre, ces solutions doivent être rentables, faciles à gérer, et capables de répondre aux nouvelles exigences de sécurité résultant de nouvelles tendances telles que les applications Web et les réseaux haut débit.

En parallèle, la notion de sécurité convergeant à travers l’ensemble du spectre IT va rendre encore plus essentielle l’approche centralisée de l’analyse des menaces et des risques de sécurité. Une vue d’ensemble de l’infrastructure de la sécurité informatique contribuera non seulement à améliorer l’efficacité de son installation, mais atténuera la complexité due à la conformité réglementaire et aux audits. En consolidant la création, l’exécution et la gestion des politiques de sécurité, les administrateurs informatiques auront davantage de contrôle sur l’état de la sécurité de leurs réseaux, et pourront ainsi améliorer l’efficacité de leurs process décisionnels.

 

Il est clair que la sécurité informatique entre dans une nouvelle ère caractérisée par une croissance de la consumérisation de l’IT et de la migration des activités de l’entreprise sur le Web. Alors que l’informatique devient une partie intégrante de l’ADN de l’entreprise, la sécurité informatique doit se réinventer afin d’être davantage axée sur les activités, les process et la performance. La sécurité informatique doit donc s’éloigner de la simple sécurisation des actifs IT de l’entreprise pour protéger et renforcer les fonctions business de celle-ci, tout en étant capable de s’adapter à un environnement utilisateur dynamique et d’en garantir la gestion.

A propos de l'auteur

Yann Pradelle