Comment exploiter la cybersécurité pour accélérer la transformation digitale?

Comment utiliser la cybersécurité pour organiser la transformation informatique ?

Pour transformer en profondeur les systèmes d’information d’une entreprise, il faut souvent un déclencheur. Dans de nombreux secteurs, l’évolution de la réglementation oblige les entreprises à s’adapter pour répondre aux échéances fixées par le régulateur. Nulle échappatoire n’est possible car la conformité n’est pas une option. Pour d’autres, c’est la crainte de la concurrence qui guide la révolution. La crainte de l’arrivée des GAFA, l’émergence de start-up qui bouleversent un secteur ou un métier, l’écrasement des prix par un concurrent, provoquent le besoin d’adaptation ! Les dangers représentés par une cybersécurité insuffisante entrent dans la même catégorie d’événements exogènes nécessitant de moderniser rapidement l’informatique de beaucoup d’entreprises. La crainte est souvent un bon moyen d’avancer.

Dans tous les cas, les conséquences d’une non-prise en compte des impacts d’une évolution réglementaire, d’une concurrence accentuée ou d’un risque de cybersécurité peuvent être terribles et aboutir à la faillite.

Eviter l’image d’une entreprise victime de cyberattaque

Steve Jobs a dit : « Un menuisier ne met pas un morceau de contreplaqué à l’arrière de la jolie commode sur laquelle il travaille. » Dans le monde numérique, tout finit par se voir et se comparer. Le prix d’une cyberattaque est devenu disproportionné et aucune entreprise ne peut se permettre de minimiser ce risque. Une attaque peut avoir des conséquences désastreuses sur les contrats en cours ou à venir et provoquer la défiance.

Le niveau de cybersécurité fait partie de l’image de marque. Préserver la vitrine présentée lors des appels d’offre ou des audits des clients n’a pas de prix. Pour se développer, pour préserver son portefeuille de clients, il est primordial d’avoir une politique de cybersécurité qui retranscrit la qualité de son système d’information. Être certifié ISO 27001 montre que l’entreprise est conforme aux bonnes pratiques à suivre dans la gestion de la sécurité de son système d’information mais n’est pas suffisant. La mise à niveau des différents composants du système d’information est gage de pérennité car la sécurité ne peut s’arbitrer.

Face au risque d’avoir un prestataire dont la cybersécurité est défaillante, « 62 % des incidents par intrusion de système sont imputables à la compromission initiale d’un partenaire » d’après Verizon, l’entreprise doit notamment maîtriser son cyber rating qui montre la partie immergée et exposée à internet de son système d’information.

Maintenir l’infrastructure et mettre à jour les outils

La transformation bouleverse souvent l’organisation d’une entreprise. Les métiers évoluent et les ressources humaines doivent être entraînées dans ces changements. Pour convaincre, le RSSI et le DSI doivent avancer en partenaires de confiance et insuffler une dynamique pour arriver au niveau visé. Bien trop souvent, les failles se révèlent à cause d’un défaut de maintenance et d’une obsolescence à la fois de l’infrastructure et des outils.

Dans le cadre du MCO (Maintien en Condition Opérationnelle) et du MCS (Maintien en Condition de Sécurité), le patch management est prioritaire. En effet, dans son panorama 2022 de la cybermenace, l’ANSSI note que « de nombreux incidents observés au cours de l’année 2022 ont pour origine l’exploitation de vulnérabilités disposant pourtant de correctifs mis à disposition par les éditeurs et ayant fait l’objet d’avis ou de bulletins d’alerte » et « ces vulnérabilités concernent des logiciels particulièrement courants et utilisés par de très nombreuses organisations ». Ce fut le cas pour le logiciel VMware ESXi, « la faille était pourtant connue depuis deux ans, mais toutes les mises à jour n’avaient pas été faites » !

Le RSSI doit s’informer en permanence car le site cvedetails.com recense pour 2022 plus de 25 000 vulnérabilités connues et à corriger ! Face à la volumétrie, les patchs critiques doivent être déployés en priorité car nul n’est à l’abri dans ce monde hyperconnecté.

La non-réalisation du patch management, les erreurs de configuration, les retards ou l’absence de montées de versions, et plus globalement le vieillissement du système d’information sont les fruits de multiples problèmes. L’absence de plan de maîtrise doit inquiéter les directions générales car chaque épine dans le pied peut entraîner la gangrène.

Remplacer les éléments défaillants pour adapter les processus et applications

Sur le chemin de la transformation, de nombreux obstacles se présentent. La conduite du changement évite bien des résistances. Pour bâtir le plan stratégique de transformation, il faut évaluer les risques et trouver des solutions pour les limiter. Dès qu’un élément présente un risque trop important, il faut l’isoler et lancer le chantier de son remplacement !

Se plonger dans les entrailles de l’entreprise, pour la comprendre et améliorer son fonctionnement, permet de déterminer quels sont les processus ou applications qui ne correspondent plus aux besoins ou sont redondants. L’amélioration de la chaîne de valeur va montrer la force qu’il est possible de tirer d’une intégration de la cybersécurité dans les décisions de transformation.

Une fois le changement décidé, les nouveaux éléments doivent intégrer dès le début de leur implémentation ou création les contraintes de sécurité. L’innovation technologique doit amener à travailler mieux et de manière plus sécurisante.

Face à la volumétrie du système d’information, aux analyses permanentes à mettre en place pour éviter les failles, le RSSI doit être aidé par les outils les plus modernes. De plus en plus d’Intelligences Artificielles (IA) permettent de doter les entreprises des moyens de détecter les anomalies pour renforcer leur sécurité. « Un apprentissage approfondi et automatisé permet à l’IA de comprendre les comportements des réseaux et d’identifier des schémas, ce qui permet de bien détecter, répondre et prévoir les cybermenaces » Dans la guerre permanente contre les hackers, sans cesse il faut savoir anticiper et moderniser.

 

source: https://solutions.lesechos.fr/tech/c/comment-utiliser-la-cybersecurite-pour-accelerer-la-transformation-informatique-36092/

Soyez le premier à commenter

Poster un Commentaire

Votre adresse de messagerie ne sera pas publiée.


*