BLOGUE – En raison des menaces de plus en plus nombreuses à la cybersécurité, la plupart des responsables de la sécurité et de la gestion des risques cherchent à enrichir leur équipe de sécurité des TI. L’embauche de professionnels en la matière pose une difficulté croissante. Voilà un moment idéal pour adopter un autre mode de pensée et envisager une approche minceur qui pourrait contribuer à pallier ce problème.
Les affaires numériques ont changé pour toujours le paysage du risque. En l’absence, improbable, de contraintes sur le plan des ressources, la meilleure façon de protéger les organisations ne consiste pas forcément à amplifier une fonction centralisée de cybersécurité à mesure qu’augmente le nombre de menaces.
Ceux qui envisagent une autre approche doivent observer les principes de la sécurité des affaires numériques :
1) Développer les équipes responsables de la sécurité afin qu’elles deviennent des facilitatrices de décisions en fonction des risques à l’échelle de l’entreprise plutôt que des protectrices de l’ensemble de l’infrastructure et des données.
2) Intégrer les pratiques de sécurité dans la trame même de l’organisation plutôt que de les y épingler et de les imposer par l’intermédiaire d’une fonction de sécurité centralisée.
3) Partager la responsabilité de la protection des ressources de l’entreprise avec les responsables des processus opérationnels, des applications et des données — la responsabilité n’incombe plus seulement à l’équipe de sécurité.
Ces principes sont contraires à l’idée de bâtir une équipe de la sécurité sans cesse plus imposante pour gérer le nombre croissant de menaces. En réalité, bon nombre de fonctions courantes liées à la sécurité peuvent être accomplies aussi bien, sinon mieux, par d’autres fonctions de TI ou autres de l’entreprise.
Cerner les fonctions de sécurité pouvant être transférées
Évaluez l’efficacité de votre équipe de la sécurité actuelle en vue de dégager les fonctions ou les capacités (par exemple les communications visant la sensibilisation des utilisateurs) pouvant être confiées à d’autres services de l’entreprise ou à d’autres groupes des TI. Déterminez les fonctions bien rodées, soit celles qui ne devraient pas être perturbées, et celles dont l’efficacité n’est pas optimale ou est nulle.
L’étape suivante consiste à trouver les causes profondes des problèmes liés à la sécurité. La charge de travail du personnel en place est-elle trop lourde? Y a-t-il des obstacles politiques ou culturels entre les unités opérationnelles? Existe-t-il des problèmes de mise à l’échelle? Il conviendrait d’envisager le transfert des fonctions qui posent problème pour ces raisons.
Lorsqu’il n’existe pas d’organisation dédiée à la sécurité, ce qui signifie que les fonctions liées à la sécurité sont assumées à la fois par des employés des TI et d’autres membres du personnel, il est probable que les principaux problèmes soient attribuables à une coordination déficiente. Une telle situation indique la possibilité de mettre sur pied une fonction de gouvernance allégée.
Relocaliser les fonctions de sécurité dont le fonctionnement laisse à désirer
Selon vos évaluations, trouvez les secteurs de l’organisation ou du service des TI auxquels vous pourriez transférer les fonctions de sécurité pour lesquelles les ressources sont absentes ou insuffisantes, ou dont le fonctionnement n’est pas optimal. Les options envisagées devraient offrir la capacité, les ressources, le poids politique et les mesures d’incitations nécessaires pour soutenir les fonctions relocalisées. Il est aussi possible de confier ces fonctions à des fournisseurs de services d’infogérance.
Bon nombre de pratiques de sécurité classiques visant les points d’extrémité et les réseaux pourraient être assumées par des professionnels au sein de l’équipe de l’infrastructure et des opérations des TI. Les fonctions liées à la sécurité des applications pourraient être relocalisées au sein des équipes du développement des applications, ainsi que du développement et de l’exploitation (DevOps).
En adoptant une telle approche, il est possible de concevoir une organisation « minimaliste » chargée de la sécurité, au sein de laquelle un responsable désigné gère la coordination centralisée d’activités de gouvernance et opérationnelles clés.
Les avantages et inconvénients de l’approche minimaliste
L’approche minimaliste en matière de sécurité numérique comporte des avantages. Par exemple, elle peut permettre à votre entreprise de contourner la pénurie de compétences en matière de cybersécurité. Elle peut aussi contribuer à favoriser la compréhension, à l’échelle de l’entreprise, des questions liées à la sécurité. Cela est tout à fait indiqué compte tenu du fait que tous les employés devraient être en mesure de gérer les conséquences de leur emploi sur la sécurité.
Le fait de rapprocher les décisions relatives à la sécurité des unités opérationnelles concernées peut également favoriser la prise de décisions mieux éclairées et fondées sur une meilleure compréhension des processus sous-jacents et des impacts opérationnels.
Le principal inconvénient de cette approche, toutefois, pourrait résider dans le fait que la fragmentation du rôle et des responsabilités liés à la sécurité sur diverses voies hiérarchiques est susceptible de perturber la coordination, particulièrement au sein des organisations dont plusieurs éléments sont dispersés géographiquement. Une orientation claire, une gouvernance ferme et une gestion efficace des programmes devraient suffire à maîtriser ce risque et à favoriser la concrétisation des avantages que présente une organisation minimaliste.
L’auteur Tom Scholtz est vice-président de la recherche et Fellow Gartner. Il est également chef de la recherche en matière de gestion des risques et de la sécurité. Il conseille des clients en matière de tendances et de stratégies relatives à la gestion de la sécurité. Il est aussi reconnu comme une autorité en ce qui concerne la gouvernance de la sécurité de l’information, les stratégies de sécurité, la dynamique organisationnelle de la sécurité et les processus de gestion de la sécurité.
Lire aussi :
Les cinq grandes tendances 2018 en gestion des risques et de la sécurité
Sécurité informatique : gare aux vulnérabilités connues moins médiatisées