Alors que les entreprises adoptent des technologies telles que l’Internet des objets, le big data, le cloud et la mobilité, la sécurité doit être plus qu’une réflexion après coup. Mais à l’ère du numérique, l’attention doit passer de la sécurisation des périmètres réseau à la protection de la propagation des données entre les systèmes, les appareils et le cloud.

Par MIT Technology Review Custom

23 janvier 2017

Des technologies telles que l’analyse de Big Data, l’Internet des objets (IoT), la chaîne de blocs et l’informatique mobile réinventent la façon dont les entreprises gèrent tout, de la prise de décision au service client. L’automatisation de la quasi-totalité des processus métier et la connectivité numérique croissante de toute la chaîne de valeur créent de l’agilité, mais elles augmentent également de manière significative les risques de cybersécurité et les niveaux de menace.

La clé pour répondre à ces risques et menaces consiste à intégrer la sécurité dans les applications, ainsi que dans les dispositifs interconnectés, dès le départ.

L’exécution de systèmes informatiques dans le cloud prend en charge la flexibilité organisationnelle. À cette fin, les entreprises déplacent de plus en plus les fonctions de données et d’activités (par exemple, les ressources humaines et les achats) entre le cloud et les systèmes existants sur site.

Mais au fur et à mesure que les entreprises s’engagent dans la voie de la transformation numérique, elles doivent faire de la cybersécurité une priorité absolue, déclare Michael Golz, CIO, SAP Americas. « Nous devons préserver la confidentialité, l’intégrité et la disponibilité des données dans tous ces contextes: sur site, dans le cloud et dans des environnements hybrides », explique M. Golz.

La valeur et le volume des données n’ont jamais été aussi élevés, et les points finaux sont plus vulnérables que jamais. C’est particulièrement le cas avec l’IoT, qui en est encore à ses balbutiements. Comme l’IoT s’étend à tout, des équipements industriels aux appareils grand public, les attaques ne se multiplient pas seulement en nombre, mais aussi en sophistication. Les dispositifs de prochaine génération sont maintenant déployés dans des environnements potentiellement vulnérables tels que les véhicules, les hôpitaux et les usines d’énergie, ce qui augmente considérablement les risques pour le bien-être humain. Les inquiétudes concernant de tels dispositifs étant piratés, transformés en botnets, et utilisés pour attaquer des ordinateurs et des organisations ciblés, se développent également.

« Toutes les vulnérabilités dans la chaîne d’approvisionnement ont maintenant un effet de feu de forêt qui se traduit par des millions de dollars perdus et la confiance détruite à l’impact », explique Justin Somaini, directeur général adjoint, SAP. « Il fallait un certain temps pour exploiter ces faiblesses. De nos jours, c’est très rapide et les dégâts sont immédiats.  »

Avec des enjeux aussi élevés, les principaux responsables informatiques, y compris les DSI et les OSC, doivent adopter une approche plus proactive pour sécuriser les données critiques. L’analyse médico-légale de ce qui s’est passé après une violation ne sera pas suffisante pour sauver des vies ou des carrières de niveau C.

Se concentrer sur les applications et les données

Les professionnels de la cybersécurité ont l’habitude de sécuriser l’accès à leurs réseaux et applications. Mais la transformation numérique conduit à une explosion des environnements connectés où la protection du périmètre ne suffit plus. Les attaquants et autres individus malveillants continueront à compromettre les liens faibles, ce qui se traduira par un accès profond aux réseaux, aux systèmes et aux données des entreprises.

Dans un monde numérique, le réseau d’entreprise classique et contenu n’existe plus. Pour cette raison, la sécurité doit être intégrée dans toutes les applications en tant que première ligne de défense, dit Somaini. Pour atteindre ce niveau de sécurité, SAP privilégie l’approche «sécurité par défaut», dans laquelle les contrôles de sécurité intégrés d’une application sont, par défaut, définis aux niveaux de protection les plus élevés. « L’idée est de renforcer la sécurité, plutôt que de demander aux utilisateurs d’y adhérer », dit-il. C’est l’une des caractéristiques d’être plus proactif dans la sécurisation des données: la protection est la posture par défaut.

Les soi-disant «applications autodéfendantes» sont un autre exemple de sécurité proactive. Cette technique de protection active fournit aux applications des fonctionnalités avancées de contrôle d’accès, leur permettant de réagir aux modifications de code source malveillantes et au débogage lors de l’exécution. Le cryptage de toutes les données en transit est un autre principe fondamental de la cybersécurité préemptive, selon Somaini. SAP HANA, par exemple, propose des services de cryptage pour les données au repos et en vol.

L’authentification à deux facteurs (qui vérifie l’identité d’un utilisateur via deux méthodes différentes) et les contrôles d’accès basés sur les rôles (qui limitent l’accès des utilisateurs aux données par rôle) comptent parmi les facteurs les plus importants. « La menace interne est très réelle. Il y a beaucoup de violations de données aujourd’hui par des personnes qui ont une autorisation légitime qui est trop large. Ils ont l’occasion de voir plus que ce à quoi ils ont droit. L’authentification à deux facteurs augmente considérablement la sécurité des communications.  »

Réunir deux mondes ensemble

Les problèmes de cybersécurité soulevés par la transformation numérique expliquent la nécessité d’une meilleure compréhension entre les professionnels de la cybersécurité de l’organisation et ceux qui assurent la sécurité des applications. « Traditionnellement, ces groupes ne parlent pas la même langue et ne comprennent pas ce que fait l’autre partie », dit Golz.

Aujourd’hui, la responsabilité de la cybersécurité est généralement partagée par l’équipe d’application, qui a tendance à se concentrer sur le durcissement et la sécurisation des applications d’entreprise, et les professionnels de la cybersécurité qui traitent des aspects tels que les contrôles d’accès et les pare-feu. « Ce sont des rôles différents, et ils utilisent des technologies et des termes différents », dit Golz. À l’avenir, avec l’accent mis sur la sécurisation traditionnelle du périmètre de réseau et la sécurisation des données applicatives, ces deux mondes doivent unir leurs forces pour éviter que les problèmes ne passent entre les mailles du filet, ajoute-t-il.

La transformation numérique rend essentiel que les équipes de cybersécurité et de TI trouvent une compréhension commune, une terminologie partagée et une approche unifiée pour sécuriser les applications et les données. « Les systèmes sont ouverts d’une manière qu’ils n’avaient pas auparavant », explique Golz. « Il y a une connectivité plus directe avec les fournisseurs, les partenaires, les clients et les consommateurs. Il existe des liens plus étroits entre la présence Web d’une entreprise et les systèmes dorsaux. Les flux de processus homogènes signifient que plus de choses peuvent mal tourner.  »

Quand il s’agit de transformer numériquement les affaires d’une entreprise, la cybersécurité doit faire partie de cette conversation dès le départ. À titre d’exemple, de nombreuses entreprises vendent maintenant des logiciels avec leurs produits. Par exemple, un grand fournisseur industriel tel que GE fournit aujourd’hui non seulement l’équipement utilisé dans les environnements de production, mais aussi les services de maintenance et de surveillance sur abonnement pour s’assurer que l’équipement ne subit pas de panne imprévue. « Cela signifie que tous les défis et les exigences auxquels une société de logiciels fait face s’appliquent maintenant à vous. La façon dont vous protégez les données est primordiale. C’est un ensemble de nouveaux défis « , dit Golz.

En tant que l’un des principaux fournisseurs d’applications stratégiques, SAP continuera à intégrer la sécurité au cœur de ses applications et à sécuriser les opérations cloud pour protéger le contenu et les transactions, indique M. Golz. « Nous travaillons pour aider les clients à définir, planifier et exécuter des mesures pour leur transformation numérique sécurisée. »

Source: MIT Technology Review Custom

https://www.technologyreview.com/s/603426/cybersecurity-in-the-age-of-digital-transformation/

x Logo: Shield
Ce Site Est Protégé Par
Shield