Voilà des années que la sécurité et la protection nécessaires des informations sensibles passent par une forme de verrouillage et des limitations au partage. Mais plusieurs conditions doivent être réunies avant de pouvoir partager des informations sensibles en toute sécurité, alors même qu’une fois qu’elles ont quitté votre environnement, vous en perdez le contrôle.

Or ces excès de verrouillage ont leurs revers : ils limitent la collaboration, ils créent des silos et ils font que les esprits les plus brillants sont empêchés de faire des liens permettant l’émergence d’idées nouvelles.

Pourtant, ces insights, nous en avons absolument besoin, que ce soit pour sécuriser les infrastructures critiques ou pour collaborer avec des partenaires dans le monde entier.

Heureusement, les avancées technologiques et les standards ouverts font qu’aujourd’hui les leaders de la tech n’ont plus besoin de sacrifier la facilité d’utilisation à l’impératif de sécurité. Les deux sont désormais conciliables.

Régler l’épineux problème des données

Dans l’écosystème SaaS, la facilité d’utilisation prime. Vous pouvez avoir développé une formidable application, si elle est poussive, datée ou si elle manque d’intuitivité, les gens ne l’utiliseront pas, tout simplement.

Dans le domaine de la cybersécurité, la facilité d’utilisation est cruciale car il suffit d’une erreur d’une personne pour donner lieu à une compromission de données potentiellement dévastatrice. Or IBM nous apprend que le coût moyen d’une compromission de données en 2022 est de 4,35 millions de dollars.

Batailler contre le risque d’erreur humaine

Les responsables de la sécurité doivent constamment batailler contre le risque d’erreur humaine. Souvent, ils rencontrent de la résistance de la part d’employés qui considèrent que les outils de sécurité les ralentissent ou sont trop difficiles à utiliser.

Prenons l’exemple des portails de sécurité des e-mails, les utilisateurs ne veulent pas d’une étape d’authentification supplémentaire, ni d’identifiants de contrôle pour compléter leur workflow, il est donc probable qu’ils tenteront de contourner les processus de sécurité chaque fois que possible.

Heureusement, de nouveaux outils de sécurité faciles d’utilisation séduisent de plus en plus les entreprises et permettent de partager l’information en toute sécurité sans rien changer aux workflows habituels. Les responsables de la sécurité déploient aussi des filets de sécurité des données, sous la forme de règles DLP (Data Loss Prevention) et de passerelles de messagerie qui tournent en coulisses, sans que l’utilisateur en ait connaissance. Ces plateformes gagnent sans cesse en sophistication et utilisent l’IA pour informer et perfectionner les moteurs DLP en continu.

Concilier partage et contrôle

Sortir des données de l’entreprise pour les partager revient depuis toujours à accepter d’en perdre le contrôle. Au-delà du périmètre de sécurité, vos données sont dans la nature. Ne reste plus qu’à croiser les doigts.

Mais il existe, à présent, des technologies de chiffrement et des contrôles d’accès sur la base d’attributs qui confèrent un contrôle persistant sur les données communiquées. Le chiffrement enveloppe les données sous une couche de sécurité tandis que les contrôles d’accès avec protocole cryptographique font que le propriétaire des données conserve son contrôle.

Ainsi, chacun peut désormais partager des informations sans craindre qu’elles tombent entre de mauvaises mains. Une politique de sécurité Zero Trust suppose que les accès soient gérés de façon individuelle et granulaire (plutôt que par des contrôles d’accès plus larges, basés sur le rôle). La stratégie la plus robuste pour protéger vos actifs les plus importants, vos données, réside dans une approche centrée sur les données plutôt qu’une approche centrée sur le réseau ou l’attribution de droits d’accès en fonction du rôle.

L’avènement des standards ouverts et la nouvelle vision de la souveraineté des données

Dans l’actuel contexte de montée des tensions géopolitiques et d’escalade des cyberattaques, les entreprises, organisations ou les gouvernements mesurent l’importance de garder le contrôle sur leur propriété intellectuelle.

Mais le fonctionnement même de l’économie mondiale impose des partages transfrontaliers de données. Une vision équitable du partage des données à l’avenir suppose d’avoir recours aux standards ouverts, Open Source.

Tandis qu’avec des solutions propriétaires, les utilisateurs sont contraints de vivre une expérience qui n’est pas nécessairement interopérable, les standards ouverts offrent les mêmes facilités d’utilisation aux émetteurs et aux destinataires, si bien que les entreprises contrôlent mieux les conditions de partage de leurs informations sans compliquer pour autant l’accès aux données côté destinataires.

Compte tenu de la très grande diversité de données que les entreprises traitent et doivent protéger (e-mails, fichiers, écosystèmes SaaS, lacs de données, données IoT issues de capteurs), les conditions de polyvalence et d’interopérabilité doivent être réunies pour créer un framework unifié. C’est justement la promesse tenue des standards ouverts.

À nous, acteurs de la technologie, de nous retrousser les manches pour instaurer l’approche de sécurité Zero Trust et appliquer des contrôles d’accès à l’ensemble des données qui ont vocation à être partagées et protégées. Heureusement, nous disposons des outils pour renforcer la sécurité sans compromettre l’expérience utilisateur intuitive légitimement attendue.