cybersécurité stratégie

La cybersécurité, accélérateur de la transformation digitale ?

La transformation numérique révolutionne l’entreprise en lui permettant de mieux connaitre ses clients et de répondre davantage à leurs attentes, mais aussi d’augmenter la valeur des produits et services et de conquérir de nouveaux marchés via de nouveaux canaux. Elle permet également d’accélérer et d’optimiser les processus métier, et de réduire les coûts. Elle se traduit par une dématérialisation des échanges, une collecte accrue de données, notamment personnelles, et un recours systématique à un ensemble complexe de technologies de l’information et de la communication.

Transformation digitale

Une transformation numérique qui ne va pas sans risques

 

Mais si la transformation numérique offre de grandes opportunités aux entreprises, elle est également porteuse de risques. La dématérialisation des processus les rend plus vulnérables à des cyberattaques qui peuvent entrainer des arrêts de systèmes et de réseaux informatiques. Les énormes volumes de données collectées peuvent être dérobés par des acteurs malveillants, notamment à des fins de chantage. Les processus métier dématérialisés peuvent être détournés par des cyber criminels pour réaliser des fraudes.
La surface d’exposition aux risques cyber est démultipliée par la transformation numérique et l’univers des risques est grandement modifié. Les impacts de ces risques sur l’entreprise sont souvent incorrectement appréhendés par les métiers et le management. Les cybers attaquants sont aujourd’hui professionnalisés, organisés, réactifs et créatifs. Ils peuvent provoquer de gros dégâts. Des risques inexistants ou improbables peuvent devenir réalité.

La cybersécurité, une composante essentielle de la transformation numérique

 

Limiter les risques opérationnels avec la cybersécurité

Face à ces menaces, la cybersécurité devient un enjeu essentiel. Par un ensemble de mécanismes techniques, de processus, de rôles, de responsabilités et de culture, la cybersécurité permet de mettre sous contrôle les risques opérationnels et d’assurer la résilience de l’entreprise face aux cyberattaques.
La cybersécurité n’a pas attendu la transformation numérique pour exister. Elle était souvent cantonnée il y a encore quelques années aux processus informatiques, et gérée uniquement par la Direction des Systèmes d’Information.
C’est aujourd’hui un sujet d’entreprise, car toute le monde est concerné, et peut être touché par une cyberattaque, du management aux collaborateurs, des métiers à la DSI. C’est également un sujet de direction générale, au vu des conséquences qu’une cyberattaque peut avoir sur l’entreprise.

Des lois pour favoriser le développement de la cybersécurité

En outre, au-delà des risques opérationnels, la cybersécurité est exigée par de nombreuses parties prenantes. Des lois et règlements portant sur la cybersécurité et la protection des données personnelles (qui intègre des exigences de cybersécurité) ont été édictées ces dernières années (RGPD, PSD2, LPM, NIS, etc.).
Au-delà du législateur, les clients B2B, mais aussi B2C, les partenaires, l’opinion publique ont des niveaux d’exigence élevés en ce qui concerne la prise en compte de la cybersécurité par l’entreprise. Il s’agit d’un enjeu de confiance et de réputation.

Transformation digitale

La cybersécurité, boulet de la transformation numérique ?

 

La cybersécurité : une mise en place contraignante

Mais comment se fait-il alors que la cybersécurité soit encore souvent vue comme le point faible de la transformation numérique, comme un boulet qui freine, comme un empêcheur de transformer en rond ? La cybersécurité est en effet considérée par certains acteurs et bénéficiaires de la transformation numérique comme un exercice lourd, chronophage et donc il est difficile de voir la valeur.
Là où les technologies numériques permettent de réduire les contraintes matérielles, d’accélérer les processus, de faciliter la vie des collaborateurs et des clients, la cybersécurité peut être vue comme ralentissant la transformation et alourdissant les interactions. Cette dichotomie existe durant le projet de transformation, mais également après, quand des utilisateurs pourtant demandeurs d’un niveau de sécurité élevé, rechignent à se soumettre à des mécanismes de sécurité contraignants. On peut citer par exemple des règles sur la composition des mots de passe.

Une mauvaise perception de la cybersécurité

La perception de la cybersécurité par les équipes en charge de la transformation numérique, par les métiers et par les utilisateurs, a souvent été influencée par leurs expériences passées en matière de sécurité informatique. Les différentes vagues d’informatisation des entreprises (site central, informatique distribuée, web, ERP, etc.) se sont en effet traduites par une philosophie de la sécurité basée sur l’application, pour ne pas dire l’empilement, d’un nombre conséquent de mesure de sécurité préventives et dont l’efficacité et l’utilité se sont révélées de moins en moins évidentes au fil des ans.
Cette lourdeur a parfois eu comme corolaire une tentation d’évitement par les responsables de projet. Plus d’un responsable Cybersécurité a pris connaissance d’un projet métier alors qu’il était déjà lancé, voire qu’il était sur le point d’être mis en production. La prise en compte de la cybersécurité dans le projet est alors plus couteuse car elle est traitée a posteriori, alors que des décisions structurantes ont déjà été prises.

L’externalisation dans le Cloud, véritable enjeu de cybersécurité

L’adoption de nouvelles technologies pose également la question des moyens de la maitrise des risques associés et de la démonstration de cette maitrise aux parties prenantes, aux clients et aux régulateurs. L’un des exemples les plus significatifs de cette question est le Cloud. Les technologies et les services Cloud sont en effet au cœur de la transformation numérique de la plupart des entreprises.
Les principaux fournisseurs de Cloud ont beaucoup investi sur des mécanismes et processus très avancés pour assurer la cybersécurité des données et traitements hébergés. Et pourtant, du fait de l’externalisation de ces données et traitements, il est souvent difficile pour les entreprises de démontrer le respect des exigences de conformité et la maitrise des risques, car elles n’ont pas la main sur les éléments de preuve nécessaires.

Les projets de types Agile confrontés à la cybersécurité

Un autre sujet de friction est la prise en compte de la cybersécurité dans les approches itératives de gestion de projet de type Agile, très prisées dans les programmes de transformation numérique. Les méthodes d’intégration de la sécurité dans les projets sont historiquement basées sur des méthodologies de développement de type « cycle en V ». Les différentes diligences en matière de cybersécurité (analyse des risques, exigences de sécurité, tests de sécurité) s’intègrent bien dans un cycle de développement se comptant en mois.
Les choses sont plus compliquées dans les approches Agile, dans lesquelles les fonctionnalités et les développements évoluent très vite. On constate d’ailleurs souvent que les équipes suivant des méthodologies Agile, ne respectent pas les prescriptions traditionnelles en matière de cybersécurité, car elles les jugent (et elles ont raison) inadaptées.

Cybersécurité

Comment intégrer la transformation numérique ?

 

Le RGPD, pour la protection des données personnelles

L’entrée en vigueur du RGPD (Règlement Européen sur la Protection des Données) en 2018, a contribué à faire évoluer la situation. Le « Privacy by Design » est en effet une obligation légale dès lors que des données personnelles sont collectées, ce qui représente un pourcentage non négligeable des projets de transformation numériques. Le Privacy by Design exige que la protection des données personnelles (dans laquelle la cybersécurité tient une grande place) soit prise en compte dès le début d’un projet, et ce pendant toute la durée du cycle de vie des données personnelles.

Une approche basée sur l’analyse de risque

En outre, des approches basées sur les risques sont de plus en plus utilisées, dans lesquelles une analyse de risque permet d’identifier les scénarios de cyberattaques contre lesquels il s’agit de protéger l’entreprise et ses clients. Les métiers sont impliqués dans de telles analyses, ce qui permet d’identifier de manière précise les risques pour chaque périmètre.
Des méthodologies comme EBIOS Risk Manager peuvent être utilisées pour mener de tels travaux. Des catalogues de mesures de sécurité peuvent ensuite être utilisés pour sélectionner les mesures strictement nécessaires, sans empiler les couches. C’est l’un des rôles du responsable Cybersécurité d’accompagner les projets dans les analyses des risques et de leur mettre à disposition de tels catalogues.

Des solutions de cybersécurité plus évolutives et plus adaptées

Les solutions de cybersécurité évoluent également et certaines permettent d’atteindre un niveau de sécurité intéressant sans représenter une contrainte trop importante pour les utilisateurs. Par exemple, des logiciels peuvent être utilisés pour analyser les situations et les comportements des utilisateurs, afin de limiter les cas où l’utilisateur se voit demander des preuves d’authentification (mot de passe, code envoyé par SMS). Ainsi, lorsque l’utilisateur consulte une application depuis son poste de travail sur lequel il s’est connecté en début de journée, l’application ne demande rien. Par contre, si un utilisateur accède à l’application depuis l’étranger ou s’il veut exécuter une transaction sensible, une nouvelle preuve d’authentification lui sera demandée.
Dans le domaine des approches Agile également, les choses avancent et on commence à voir une intégration de la cybersécurité dans les projets, avec des experts cybersécurité qui accompagnent et conseillent au quotidien les équipes Agile dans l’identification et la prise en compte des risques de cybersécurité.

La cybersécurité, moteur de la transformation numérique

Aussi paradoxal que cela puisse paraître, la cybersécurité peut même devenir un accélérateur de la transformation numérique. Des analyses de risques, accompagnées d’une collaboration constructive entre métiers, équipes digitales et responsables Cybersécurité, peuvent permettre d’identifier et de traiter proactivement des risques, en utilisant les mesures de maitrise des risques les plus adaptées.
Les catalogues de solutions de sécurité et les bibliothèques de fonction de sécurité permettent d’éviter de perdre du temps à sélectionner des outils ou à écrire un code déjà existant. Des processus de provisioning de machines virtuelles sécurisées permettent par exemple de déployer rapidement des prototypes, assurant un niveau de sécurité adéquat. L’intervention d’experts sécurité permet d’éviter de perdre du temps et de l’énergie à tenter de maitriser des risques improbables, et de se concentrer sur les vrais risques.

 

La cybersécurité peut également permettre d’accroitre la valeur perçue de la transformation numérique par les personnes intéressées au premier chef, les utilisateurs, les collaborateurs, les consommateurs ou les citoyens. Les enquêtes montrent en effet un niveau d’inquiétude grandissant de ces populations quant à la capacité des organisations à protéger correctement leurs données.
Certes, il existe une certaine schizophrénie entre des utilisateurs soucieux de la sécurité, mais voulant toujours plus de facilité et moins de contraintes. Mais c’est justement dans ce domaine qu’une cybersécurité intelligente et collaborative peut apporter à l’entreprise, au-delà de la protection contre les cybermenaces et de la conformité réglementaire, un véritable avantage concurrentiel.

 

Article écrit par :

Vincent Maret

Partner, KPMG Advisory, Cyber Security Services