Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Rassembler autour de la sécurité, le nouveau cheval de bataille des entreprises

octobre 2021 par Erwan Bornier, Directeur Technique France - VMware Tanzu

« Oublier la cybersécurité, c’est comme rouler à 200km/h sur une moto sans casque » avertissait déjà en 2016, à l’ouverture des Assises de la Sécurité, Guillaume Poupard, Directeur Général de l’ANSSI. L’affaire récente du logiciel espion Pegasus nous l’a encore une fois démontré : la sécurité n’est plus un sujet de second ordre et devient une vraie préoccupation pour les individus et les organisations.

Si la pandémie a fait fleurir bon nombre d’opportunités en permettant aux entreprises d’innover plus rapidement pour répondre aux demandes liées à ce contexte inédit, les menaces cyber ont aussi connu une croissance proportionnelle. Et alors que la sécurité est devenue la priorité numéro 1 des entreprises, une récente étude menée par Forrester révèle qu’en interne, les politiques de sécurité mises en place sont considérées comme un frein à l’innovation pour les équipes IT (61%) et les développeurs (52%). Dès lors, comment replacer la sécurité au cœur des priorités des équipes IT et de développement ? Et comment fédérer ces équipes pour obtenir un alignement stratégique permettant de faire corréler innovation et protection ?

Repenser la sécurité comme partie intégrante de l’expérience client

A l’heure du multi-cloud et des objets connectés, le fossé entre les équipes IT, développement et sécurité se fait sentir, et le décalage entre leurs priorités et les besoins des clients se ressent également. Cette différence se retrouve dans la notion même de sécurité, qui représente pour chaque service un objectif différent : la sécurité de l’infrastructure informatique pour les équipes IT, celle du code source des applications pour les développeurs ou encore la protection des données pour les équipes Sécurité.

On retrouve trois notions de sécurité à trois échelles différentes qui sont autant d’obstacles à une harmonisation des équipes. Une différence sémantique qui illustre un écart entre les services, qui ont de facto des priorités diverses. Cette altérité ne date pourtant pas d’hier. En effet, la sécurité a mauvaise presse au sein des équipes, qui la perçoivent souvent comme un frein à l’innovation. Par exemple, les équipes de développeurs ont tendance à se focaliser sur leur travail dans le but de créer le prochain produit à succès avant tout le monde, et ce n’est qu’une fois cet objectif atteint que la sécurité est prise en compte.

Or, derrière la sécurité du produit se cache la sécurité du client, et c’est l’expérience client qui est moteur de la stratégie de l’entreprise. Plutôt que de traiter la sécurité à part, il faut donc l’intégrer dès le début du cycle de développement du produit, afin qu’elle devienne omniprésente. Ainsi, ce qui est considéré comme un obstacle devient une source d’innovation.

Rapprocher les équipes pour faciliter la collaboration

Alors que les dirigeants d’entreprise accordent de plus en plus d’importance à la coopération entre les différents services, l’étude réalisée par Forrester souligne que plus d’un quart des développeurs ne prennent jamais part aux décisions concernant les politiques de sécurité, bien que ces dernières puissent parfois affecter leurs missions. Par conséquent, comment orchestrer le rapprochement entre les équipes et intégrer les développeurs dans la réflexion sur la sécurité ?

Au niveau organisationnel, la validation des directives concernant les questions de sécurité s’effectue à des niveaux différents en fonction de plusieurs facteurs (taille de la structure, niveau de représentation au conseil d’administration, …). Cependant, pour savoir quel service devrait migrer vers l’autre ou quelle mission devrait être abandonnée au profit d’une autre, l’enjeu est de rassembler les équipes autour d’une direction unifiée, afin qu’elles puissent travailler main dans la main. Au niveau technologique, l’automatisation poussée par les approches DevOps permettent également de faciliter les interactions entre les équipes de développements et de sécurité. Les décisions établies ensemble (par exemple – les règles d’analyse des failles de sécurité dans un code applicatif) peuvent être automatisées au sein du « path to production » d’une application. On parle désormais d’approche DevSecOps, où la sécurité est clairement intégrée au cycle de développement d’une application. En engageant tous les services autour de cette même cause, cela faciliterait la compréhension des problématiques de chaque équipe et la communication pour tendre ensemble vers un même objectif : le développement de l’expérience client.

La sécurité, en plus de protéger l’image de marque, permet la création d’un lien de confiance entre clients et employés, et doit permettre, à terme, l’abolition des idées reçues disant qu’innovation et contrôle sont incompatibles. Sur un marché en perpétuelle évolution, c’est aux dirigeants des entreprises de faire progresser les relations entre les différentes équipes, mettant fin au travail en vases clos. Des KPIs par exemple, le nombre de déploiements par semaine ou encore le délai mise en place d’un patch de sécurité sont nécessaires afin de mesurer les progrès de cette démarche et l’ajuster si besoin. Ces données sont indispensables afin que tous les collaborateurs se réunissent autour d’une vision commune : une stratégie orientée client.




Voir les articles précédents

    

Voir les articles suivants