ven, 13/07/2012 - 10:44
Augmentation des coûts d’exploitation; budgets serrés; menaces Internet plus puissantes et variées; nécessité d’une visibilité et d’un contrôle plus important − voici quelques-uns des symptômes poussant urgemment à la mise en place d’un programme d’austérité dans la gestion de sécurité IT, en d’autres termes: la Rationalisation de la Sécurité IT. Par Graeme Nash, Directeur des Solutions Stratégiques, Fortinet.
Beaucoup de pays aujourd’hui subissent une importante pression financière dans le but de réduire les dépenses publiques, de rétablir les déficits fiscaux pour finalement alléger la dette de l’Etat. Ce faisant, ils imposent des réformes structurelles impopulaires aux entreprises et aux individus. Le terme ‘Austérité’ incarne cette situation.
De même, l’‘éco-système’ de la sécurité IT est soumis à pressions opposées. Quels sont ces points de pression? Comment impactent-ils la gestion de la sécurité IT et les objectives de l’entreprise? Les réponses à ces questions permettront de déterminer si oui ou non un programme d’austérité dans l’IT est une mesure qui aurait déjà dû être prise.
Les Symptômes Principaux et ‘les Indicateurs de l’Eco-Système’ La Croissance des Coûts d’Exploitation
Il est communément admis que les coûts d’exploitation liés à la gestion de la sécurité IT augmentent ‘naturellement’, car les mécanismes de contrôle et de protection se superposent les uns aux autres. La réalité est que les équipements de sécurité et leurs relatifs processus restent souvent en opération au-delà de leur date d’obsolescence et des solutions supplémentaires se superposent aux infrastructures existantes pour répondre à de nouveaux besoins IT ‘urgents’.
Des Budgets Serrés
Alors que les entreprises ressentent une pression sur leurs bilans, de nombreux budgets départementaux sont sous surveillance. La sécurité est particulièrement vulnérable car elle est encore souvent perçue comme une dépense inutile plutôt qu’un atout pour l’entreprise.
Des Menaces Plus Etendues
Les rapports de sécurité montrent un écart de plus en plus important entre la sophistication des vols de données d’une part, et les mécanismes de défense et les stratégies de résilience mises en place dans l’entreprise d’autre part. En plus, avec les réseaux sociaux et le BYOD (Bring Your Own Device) dans l’environnement de travail, les données de l’entreprise sont dorénavant accessibles via une pléthore de plateformes personnelles, pour la plupart vulnérables, et que l’IT n’est souvent pas préparé ou équipé à gérer en toute sécurité.
Prévoir des Besoins de Croissance
La loi Moore sur l’évolution de la puissance des processeurs s’applique également au stockage, au volume de données transférées et à la bande passante du réseau. Et avec le passage à la fibre et l’IPv6 dans les réseaux d’entreprise, l’IT doit rapidement adopter une sécurité avec des solutions hautes performances. Projeter précisément des plans de croissance de l’entreprise au niveau de l’IT et de la sécurité informatique est un exercice difficile, mais c’est un indicateur clé d’une bonne gestion du système IT.
La Poussée vers le Cloud
Lorsque les prix sont trop élevés, l’infrastructure trop complexe et les compétences trop difficiles à trouver, le cloud peut être considéré comme l’option pour s’en sortir à bon compte. Toutefois, le cloud computing n’est certainement pas la panacée de tous les maux IT et comporte ses propres défis, notamment en termes de sécurité.
La Priorisation des Projets
Comme les budgets se resserrent et que les ingénieurs qualifiés deviennent rares, il devient encore plus critique d’être efficace avec les ressources disponibles. Les décisionnaires de sécurité IT doivent se concentrer sur des projets mesurables où ils peuvent prouver un maximum d’avantages en matière de prestation de sécurité pour leur entreprise.
Les Trois Piliers de l’Austérité
Pour une nation, la définition d’un programme d’austérité peut être définie autour de trois piliers. Voyons comment ceux-ci s’appliquent à la gestion de la sécurité IT.
L’Augmentation des Impôts
Les pays ont souvent recours à l’augmentation des impôts pour rétablir les déficits budgétaires. La plupart des organisations n’ont pas ce luxe. Il est encore rare de voir la sécurité IT traitée comme un centre de coûts interne qui facture ses services aux autres départements opérationnelles.
La Restriction Budgétaire
La restriction des dépenses publiques est généralement l’autre instrument de l’austérité. L’astuce dans ce cas est de réduire les budgets là où il y a excès plutôt que de s’en prendre aux services critiques. Comment réduire les dépenses de sécurité IT sans nuire à la sécurité de l’entreprise? Ceci nous amène au troisième pilier.
Le Rendement et la Réforme Structurelle
Le moyen le plus efficace, mais finalement le plus difficile et le plus long pour compenser la réduction des dépenses est d’introduire du rendement. Ce dernier peut exiger une réforme structurelle parallèle pour plus de rentabilité au niveau du capital, de l’équipement et de la main d’œuvre. Bien que cette option soit généralement semée d’un certain nombre d’embûches pour tout gouvernement en raison de son effet à long-terme, c’est la meilleure à appliquer dans le cadre de la gestion de la sécurité IT.
Programme pour une Austérité de la Gestion de la Sécurité IT Sans Difficulté : la Rationalisation de la Sécurité IT
Les professionnels de la sécurité IT peuvent réaliser de véritables rendements et même des réformes structurelles si la stratégie globale de l’entreprise le justifie. Voyons les composants d’un programme d’austérité pour la gestion de la sécurité IT, sans difficulté.
Améliorer la Gestion des Risques IT
La gestion des risques fait partie des opérations de l’entreprise depuis un certain temps. Les risques liés à l’IT sont généralement abordés de façon purement opérationnelle, conduisant à des plans de continuité et de sauvegarde. Toutefois, l’impact croissant des menaces sur l’activité des entreprises demande une évaluation des risques des menaces externes et son incorporation dans le processus de gestion des risques de l’entreprise. La gestion des risques de la sécurité IT devrait donc définir les principales vulnérabilités de l’organisation, leur prévalence et leur impact.
Réévaluer les Actifs de Sécurité IT
L’objectif principal de la réévaluation des actifs est de diminuer l’impact des réductions budgétaires sur les coûts d’exploitation.
L’ensemble de solutions disparates déployées au fil des années dans l’organisation - telles que celles dédiées au pare-feu, à l’antivirus, au VPN, et plus récemment aux DDoS ou au support IPv6 - impose souvent un coût disproportionné en matière d’opérations et de maintenance par rapport à ce qu’il fournit. Une réévaluation des actifs de la sécurité IT permet de :
- Lister ces actifs de sécurité et déterminer leur fonction spécifique ainsi que leur valeur,
- Déterminer les besoins de sécurité actuels et des 3 prochaines années et si les actifs actuels répondent à ces besoins,
- Evaluer le coût de la solution d’origine, faire la projection des coûts annuels de maintenance & opérationnels, et comparer ces coûts par rapport aux nouvelles générations de produits offrant la même fonction,
- Déterminer les coûts de transition annuels.
Déployer des Plateformes Evolutives
Parce qu’il est difficile de correctement prévoir la croissance des besoins, les organisations IT compensent souvent en surestimant ces besoins, ce qui, bien sûr, coûte. Il est plus rentable de déployer simplement une plateforme évolutive − qui peut être mise à jour sans aucun changement majeur en termes de technologie ou de compétences − dès le début.
Rééquilibrer l’Equation Interne vs. CloudLe cloud computing peut être considéré comme un principe essentiel de l’austérité. Cependant, le point principal qui empêche un véritable raz de marée du cloud est la sécurité, et à raison. Par conséquent, il y a un équilibre à trouver entre les avantages économiques et opérationnels du cloud d’une part, et son manque de sécurité et de capacité d’audit d’autre part. Dans un programme d’austérité IT, l’équation interne versus cloud doit être refaite. L’internalisation de la gestion de l’ensemble des fonctions IT, à l’exception des fonctions courantes, pourrait s’avérer être une option plus sûre et flexible.
Consolidation Technologique et Rationalisation du Fournisseur
L’évaluation d’un fournisseur doit se faire en termes de vision, de technologie et de processus – avec un objectif d’austérité. D’un point de vue technologique, la consolidation des fonctions de sécurité au sein d’une même plateforme permet d’améliorer la performance et la gestion. Lorsque ces fonctions de sécurité ne peuvent pas être déployées dans une seule appliance, il est important d’avoir une interface utilisateur cohérente et un modèle sur les flux d’activités pour permettre une réduction des coûts. L’ajout d’une solution de reporting et de gestion centralisée à l’échelle de l’entreprise peut aussi permettre davantage d’économies opérationnelles.
En outre, les fonctions de sécurité doivent couvrir tous les domaines de l’IT, depuis les réseaux et autres actifs filaires/ sans fil aux bases de données, applications web et systèmes de messageries. De même, elles devraient permettre un nombre maximal de processus de base en matière de gestion de sécurité IT.
La rationalisation des fournisseurs permet donc de couvrir un maximum de domaines et de processus en matière de gestion de la sécurité IT avec un minimum de fournisseurs technologiques. Pour répondre aux futurs besoins à moindre coûts, les fournisseurs et partenaires doivent également être capables d’implémenter et de supporter correctement les opérations globales d’une entreprise.
En conclusion, même si la pression sur la gestion de la sécurité IT n’est pas encore à son maximum, les principaux symptômes et ‘indicateurs de l’éco-système’ de la sécurité informatique rendent sans aucun doute nécessaire la mise en place immédiate d’un programme de rationalisation de sécurité IT, afin d’éviter une austérité douloureuse. Ce programme est une voie à suivre.
Graeme Nash, Directeur des Solutions Stratégiques, Fortinet
A propos de l'auteur