Comment trouver le juste équilibre entre les démarches de transformation digitale et la continuité de l’activité de l’entreprise et lever les craintes liées à l’innovation.
« Les erreurs sont les portes de la découverte », c’est ce qu’a déclaré un jour le célèbre écrivain James Joyce.
Ce principe de psychologie positive, valable pour la vie de chacun, s’applique également au monde de la sécurité. Les entreprises tirent toujours des enseignements de leurs erreurs, et en comprenant comment elles auraient pu être évitées.
La recrudescence des attaques cybercriminelles ces dernières années a causé une véritable vague de paranoïa au sein de l’opinion publique et des entreprises.
S’il y a des raisons de s’inquiéter, il ne faut pas paniquer pour autant : les cybercriminels prêts à s’emparer de votre identité, à rançonner vos données ou à paralyser une entreprise ne se comptent pas en millions. La véritable menace se trouve plutôt au sein même de votre organisation.
La panne dont a été victime British Airways en est un très bon exemple. Elle a paralysé ses systèmes informatiques, bloquant au sol de nombreux avions et perturbant les vols en cours, impactant au passage plus de 70 000 passagers avec une facture totale pour la compagnie supérieure à 115 millions d’euros.
Lorsque la panne est survenue, tout le monde a aussitôt pensé à une cyberattaque. Une conclusion compréhensible sachant que cette même année, les entreprises ont subi les pires attaques jamais vues, avec notamment WannaCry et NotPetya.
Mais British Airways a vite écarté cette idée, avec raison. De fait, la panne a été causée par un ingénieur informatique qui a fait une erreur au niveau d’un suivi de protocole. Les générateurs de secours n’ayant pas pris la relève immédiatement, cela s’est traduit par 15 minutes d’interruption totale de l’activité. Résultat : des millions d’euros perdus, un coup dur porté à l’image de marque de la compagnie et une équipe informatique qui a montré ses faiblesses.
Selon des prévisions du cabinet d’analystes Gartner, à l’horizon 2018, les investissements opérés dans la sécurité informatique atteindront 78 milliards d’euros, soit une hausse de 7 % en seulement un an. A l’heure où les entreprises sont toujours plus nombreuses à migrer leurs applications et leurs systèmes dans le Cloud, ce chiffre devrait encore augmenter.
Dans le concret, au Royaume-Uni, les petites et moyennes entreprises sont davantage inquiétées par la cybercriminalité que par le Brexit, puisqu’elles comptent investir dans ce domaine plus de 4 milliards d’euros dans les 12 prochains mois, selon une étude publiée par Barclaycard.
En fait, il faut bien comprendre que les données sont le bien le plus précieux des entreprises, et assurer leur protection doit être une priorité. Les entreprises se doivent de repérer leurs faiblesses avant les pirates afin de toujours avoir une longueur d’avance.
Maintenir la stabilité dans une époque d’incertitude
Il n’y a rien de plus difficile aujourd’hui que de trouver le juste équilibre entre les démarches de transformation digitale et la continuité de l’activité de l’entreprise.
Les dirigeants et les responsables métiers sont soumis à une pression intense pour innover rapidement, tout en travaillant avec les équipes informatiques et les responsables des applications, afin de s’assurer que les fondations informatiques, donc les données, sont stables, sûres, conformes et fiables.
Car, nous le savons bien, dans les faits, au fur et à mesure qu’elle se développe, l’entreprise est de plus en plus exposée à diverses menaces, du simple fait de sa croissance, sa transformation et donc la mise en place d’un Lego de plus en plus complexe et hétérogène.
Avec la digitalisation des entreprises qui va, selon les prévisions, entraîner 1,6 milliards de milliards d’euros d’investissements d’ici 2020, les systèmes informatiques vont encore gagner en complexité dans le monde entier.
Les solutions qui renforcent les infrastructures critiques, avec un souci d’innovation permanent, introduisent inévitablement un potentiel d’instabilité et une imprévisibilité qui peuvent être difficiles à gérer.
Mais fort de ce constat, la sécurité ne doit pas pour autant être un frein à l’innovation. Les entreprises se doivent de continuer à adopter les technologies disruptives que sont le Cloud et la mobilité, car elles permettent d’intégrer facilement ces nouvelles pratiques au sein de leurs processus qui leur permet de parvenir à cet équilibre.
Cela permet d’introduire plus rapidement, en contrôlant les risques, de nouveaux services et produits pour leurs clients.
Innover sans crainte
La crainte n’a pas sa place dans une entreprise qui a entamé une démarche d’innovation. Les DSI doivent donc s’attacher à mettre au point des services innovants reposant sur l’infrastructure informatique existante et sur différentes architectures composées de nouveaux modèles et plates-formes de livraison.
Faire le lien entre l’ancien et le nouveau permet à une organisation d’innover plus vite et en maîtrisant ses risques, réduisant ainsi l’exposition à une cyberattaque ou un vol de données.
Quelle que soit l’étape en cours menant à sa transformation digitale, une entreprise doit garder à l’esprit 4 grands principes lorsqu’elle définit sa stratégie :
• L’automatisation est un ange gardien : automatiser l’application des patchs, des correctifs pour les logiciels les plus utilisés permet de se prémunir contre les attaques de type WannaCry. Ce rançongiciel a fait plus de 300 000 victimes dans le monde ; toutes n’avaient pas encore appliqué le patch publié par Microsoft deux mois plus tôt.
• L’agilité réduit le risque : l’exploitation de la puissance du DevOps permet aux organisations d’élaborer un design, de bâtir, de tester, d’évaluer et de déployer plus rapidement des applications, avec beaucoup moins de risques à la clé.
Les équipes informatiques et les développeurs travaillent main dans la main pour assurer la continuité de l’activité et la sécuriser, sans que cela se fasse au détriment de l’innovation et de la croissance d’entreprise. Cette approche offre aux entreprises l’avantage compétitif dont elles ont besoin pour poursuivre leur développement.
• Sécuriser l’accès aux données : ce point, pourtant évident, est souvent négligé. Bupa, compagnie d’assurance médicale, a récemment mis en danger les données personnelles de plus de 500 000 clients parce qu’un de ses employés y a eu accès et fait une mauvaise manipulation.
Il est donc essentiel de disposer des bons outils pour contrôler et surveiller les accès aux données et systèmes critiques ou sensibles, par les utilisateurs internes ou extérieurs à l’entreprise.
• Être proactif plutôt que réactif : pourquoi ? Parce qu’il sera sans doute déjà trop tard… Les systèmes inactifs depuis un moment doivent être traités en priorité car ils démontrent un manque d’expérience de l’entreprise dans la gestion des bugs ou vulnérabilités. En cas d’attaque, elle aura deux trains de retard. N’oubliez jamais ce que 15 petites minutes d’interruption d’activité ont fait à British Airways…
Quelles que soient les précautions prises, les systèmes tomberont forcément un jour en panne, ou seront attaqués. Mais cela ne signifie pas qu’il faut être fataliste ! Des organisations qui bâtissent, testent et déploient des applications d’une manière fiable et sûre sont à même de limiter les risques. Ces mesures permettent aussi d’installer des applications plus vite.
Netflix est un exemple d’entreprise qui a opté pour une politique d’innovation audacieuse à 100 %. Elle a déployé une technologie appelée Chaos Monkey, qui passe au peigne fin toutes ses infrastructures pour désactiver automatiquement les applications lorsque cela s’avère nécessaire, afin d’être plus résiliente en cas de panne ou d’attaque d’envergure. Chaos Monkey travaille en tâche de fond, inlassablement, dans le but d’assurer une protection optimale.
Netflix est l’une des entreprises les plus innovantes du marché. Sa capacité à trouver le juste équilibre devrait être une source d’inspiration pour toutes les entreprises car l’innovation et la sécurité vont toujours de pair.
Les entreprises qui en sont conscientes et réagissent rapidement seront en mesure de saisir les bonnes opportunités et, ainsi, de damer le pion à leurs concurrents.
Au lieu d’agiter l’épouvantail de la cybercriminalité à chaque réunion stratégique, mieux vaut étudier, comprendre et optimiser les rouages internes de l’entreprise afin de voir où se cache la vraie menace pour l’entreprise.
