De nombreuses entreprises ont aujourd’hui amorcé leur transformation numérique. La pandémie a marqué une étape importante, et la priorité aujourd’hui est clairement de parvenir à une transformation numérique sécurisée. Un grand nombre de dirigeants ont en effet été contraints de migrer à la hâte vers le cloud afin de favoriser le télétravail et d’assurer la continuité de l’activité. Les questions de sécurité ont alors perdu de leur importance et, comme on pouvait s’y attendre, les problèmes répertoriés dans l’inventaire des risques se sont multipliés. Ivan Rogissart, directeur avant ventes Europe du Sud chez Zscaler, nous livre son analyse.

À mesure que les menaces se multiplient et que les entreprises s’efforcent de trouver des solutions numériques pour booster leur compétitivité, la cybersécurité s’est imposée comme un impératif commercial, un moteur et un élément fondamental pour préserver la confiance des clients.

Mais au sein des entreprises où ce principe n’est pas encore acquis, les RSSI peinent parfois à expliquer pourquoi une cyber-stratégie basée sur les principes du Zero Trust peut leur être plus profitable (habilitation des personnes et des politiques organisationnelles autour du travail hybride, transformation numérique sécurisée, continuité globale des activités optimisée, agilité et résilience, simplification de l’expérience utilisateur). Les entreprises refusent souvent de prendre des initiatives en matière de sécurité, de peur que les contrôles mis en œuvre ne compliquent les choses ou qu’elles affectent l’expérience utilisateur. Cependant, le Zero Trust est une alternative capable d’améliorer cette situation, tout en assurant les contrôles clés nécessaires à la protection d’une entreprise moderne.

Il appartient donc aux RSSI de présenter ces nombreux avantages au Conseil d’Administration et d’amener ainsi leurs dirigeants à s’engager dans le processus de changement structurel. Il est essentiel que les responsables de tous les services de l’entreprise (et pas seulement de l’IT) comprennent pourquoi le Zero Trust est plus qu’une simple question de sécurité, mais un impératif commercial essentiel.

Présenter le projet aux dirigeants (et aux cadres supérieurs)

Lorsque les RSSI présentent le concept de Zero Trust à leur Direction Générale, il est important que leur approche soit multidimensionnelle. L’angle de la stratégie de sécurité est au cœur de l’argumentaire mais, pour présenter la situation dans son ensemble, il est indispensable de souligner et d’expliquer les avantages opérationnels et commerciaux du Zero Trust. Il est également nécessaire d’expliquer comment cette stratégie peut s’intégrer de manière positive dans d’autres stratégies d’entreprise.

Les discussions sur les avantages doivent être axées sur les aspects commerciaux et s’inscrire dans le contexte de l’entreprise, afin de souligner explicitement comment une architecture Zero Trust s’aligne sur les indicateurs de performance et les objectifs-clés de l’équipe de direction. Expliquer ces avantages permettront d’obtenir l’approbation et l’adhésion nécessaires avant de présenter le projet au Conseil d’Administration.

A lire aussi : Quels dispositifs pour aider les territoires face à la tempête cyber ?

Lorsqu’il s’agit de l’impact sur les dépenses d’investissement et d’exploitation, le déploiement du Zero Trust peut aider l’équipe cyber à capitaliser sur deux avantages majeurs. Pour commencer, l’équipe est en mesure de recruter des experts grâce à un modèle opérationnel inhérent qui met l’accent sur les tâches de sécurité à forte valeur ajoutée telles que l’optimisation des politiques, plutôt que sur les tâches à faible valeur ajoutée comme la gestion des correctifs. Pour ce qui est des menaces, l’architecture Zero Trust garantit aux entreprises une plus grande souplesse pour répondre à leurs besoins futurs et leur permet de compléter et d’intégrer les contrôles existants. L’harmonisation des contrôles permet à l’entreprise de rentabiliser au maximum ses investissements en matière de contrôle de la sécurité.

Il est fondamental de vendre la vision globale des synergies possibles dans un domaine et les avantages commerciaux dans un autre, décrire le mode de mise en œuvre et les options de financement tout en soulignant le rôle de la technologie, de la simplification et de la réduction des risques.

Présentation au Conseil d’Administration

Le Conseil d’Administration se soucie peu des opérations. Il doit s’assurer que la direction est compétente et qu’elle travaille dans l’optique d’une bonne stratégie d’entreprise. Le Conseil d’Administration et le comité d’audit et de risque veillent à ce que l’entreprise évolue avec une certaine tolérance au risque et qu’elle dispose des contrôles adéquats pour maintenir cet objectif d’une manière durable. Dans ce cas, les RSSI doivent se concentrer sur deux piliers-clés pour présenter les concepts de Zero Trust au Conseil d’Administration : la sensibilisation et la gouvernance.

La direction de l’entreprise doit s’attacher à démontrer que sa gestion respecte le niveau d’appétence pour le risque en se basant sur des indicateurs. Les questions-clés auxquelles il convient de répondre sont alors les suivantes :

• Quelles sont les mesures-clés pour une architecture Zero Trust ?
• Quels sont les paramètres permettant d’évaluer l’efficacité des contrôles ?
• En quoi cela permet de faire progresser notre maturité informatique, notre conformité et nos mandats réglementaires ?
• Dans quelle mesure cela prouve que nous gérons les risques dans les limites de notre capacité d’absorption ?

Selon l’état d’avancement de l’entreprise dans sa démarche Zero Trust, il peut s’agir d’indicateurs tels que :

• Combien de systèmes ai-je migré dans une structure Zero Trust qui minimise la capacité de découverte de cet actif ?
• Combien de temps avons-nous gagné en n’ayant pas eu à gérer le cycle de vie des actif ?
• Comment l’impact global et la fréquence des incidents/cas de cybercriminalité provenant d’une source externe ont-ils été réduits ou ont-ils eu tendance à diminuer ?
• Dans quelle mesure l’entreprise a-t-elle amélioré sa posture de cyberdéfense ?

Il s’agit d’éléments macroéconomiques que les entreprises peuvent relier à leur cadre de risque et auxquels elles peuvent attribuer des capitaux pour s’assurer qu’ils sont gérés en respectant les marges que l’entreprise a jugées adéquates.

Cela démontre que les équipes sécurité travaillent à la gestion des risques en mettant en œuvre des contrôles-clés dans le cadre d’une architecture Zero Trust. Dans une perspective de risque et de propension au risque, discuter de la valeur du Zero Trust au regard des mesures de gouvernance montre que l’entreprise prend en charge et maintient le risque en respectant le profil de l’entreprise.

En règle générale, les RSSI ont une seule chance de convaincre leur comité de direction. Cette chance doit se concrétiser lors de la première présentation. Pour être efficace, la présentation doit d’abord franchir les étapes hiérarchiques appropriées afin de s’assurer que l’équipe de direction appuie le projet et comprenne pourquoi le Zero Trust est nécessaire. À ce stade, il est essentiel de débattre de l’idée générale dans un langage commercial, en contextualisant et en conceptualisant la technologie dans des termes facilement compréhensibles pour que les membres du groupe puissent s’y retrouver et s’appuient sur leur connaissance du secteur d’activité.

Toutefois, même si les présentations faites aux dirigeants et au Conseil d’Administration sont réussies, le soutien des principales parties prenantes et des responsables de l’entreprise est essentiel. Pour créer de la valeur, il est primordial de comprendre les différents besoins de l’entreprise dans sa globalité et d’être capable d’y ajouter une perspective de sécurité.

En somme, pour réussir à développer la sécurité dans une entreprise, il est essentiel de constituer des équipes de spécialistes dans différents secteurs d’activité pour faire entendre la voix de la sécurité et la développer. Entretenir ces relations, montrer l’intérêt de ces mesures et les informer de manière transparente renforce la culture d’entreprise : comprendre l’importance de la sécurité et la valeur qu’elle représente.

La cybersécurité est un élément essentiel pour sécuriser les données et les collaborateurs d’une entreprise et le Zero Trust représente un prisme de possibilités tel que la Direction et le Conseil d’Administration ne peuvent (littéralement) plus se permettre de l’ignorer.