Équilibrer le risque et l’innovation : La mission de sécurité est-elle impossible ?

En tant que responsable de la sécurité, comment pouvez-vous au mieux activer le volant d'inertie de l'innovation qui fait tourner l'entreprise tout en gérant le risque qui découle de la rapidité avec laquelle vous modernisez l'architecture de votre entreprise informatique , adoptez une conception d'application moderne, déployez de nouvelles applications et, en fin de compte, offrez plus de valeur à vos clients ?

La lutte pour équilibrer efficacement le risque et l'innovation est réelle : 76 % des personnes interrogées dans le cadre de la dernière enquête F5 sur l'état de la stratégie applicative ont déclaré qu'elles désactiveraient les mesures de sécurité pour gagner en performances (beaucoup le feraient même pour des améliorations relativement minimes !). Des compromis comme celui-ci peuvent vous rendre vulnérable, et des solutions de sécurité ponctuelles « suffisamment bonnes » éroderont la confiance des clients et votre réputation lorsque les choses tournent mal. Nous constatons le défi de déployer une sécurité à la fois très efficace et facile à utiliser dans les entreprises de tous les secteurs, des services financiers, où l'open banking et l'utilisation d'API tierces peuvent rendre la protection des applications plus complexe, au gouvernement, où les agences, incitées par le décret sur la cybersécurité publié par la Maison Blanche ou la législation NIS2 dans l'UE, doivent prendre des mesures sérieuses pour renforcer leur cybersécurité.

Répondre aux besoins évolutifs des clients

Le périmètre de sécurité traditionnel est mort depuis longtemps. L'évolution des architectures d'application vers un modèle plus distribué, combinée à l'adoption accrue des solutions SaaS ( 93 % des organisations utilisent un type d'offre as-a-Service basée sur le cloud ) et aux déploiements de périphérie, signifie que la sécurité doit être omniprésente. Ajoutez à cela l’impératif d’avancer toujours plus vite pour soutenir l’innovation prolifique des produits – une réponse à la montée en flèche du travail à distance et à la demande accrue de services tels que la télémédecine et la banque en ligne, pour n’en citer que quelques-uns – et il est clair que le rôle de l’organisation de sécurité dans l’entreprise a fondamentalement changé.

Aujourd’hui, la sécurité doit remplir plusieurs rôles : elle doit permettre la transformation numérique, garantir la confiance des clients et garantir la réputation de l’organisation. Et il est de votre responsabilité de veiller à ce que tous les membres de l’entreprise comprennent le rôle central de l’organisation de sécurité dans la réussite de l’entreprise. Faire passer la perception de la sécurité d’une fonctionnalité à un état d’esprit est un changement culturel qui demande du temps et des efforts.

Alors comment y arriver ?

Rendre la sécurité accessible et unifiée  

Instaurer ce changement culturel dans toute l’organisation signifie que chacun doit adopter un état d’esprit privilégiant la sécurité. Vous pouvez accélérer cette transition en facilitant le déploiement des solutions de sécurité, quels que soient l’environnement, l’architecture de l’application ou les ressources en personnel.

L'unification de la déclaration et de l'application de la politique de sécurité des applications dans les environnements locaux, de cloud public et de périphérie contribue à rendre la sécurité cohérente pour les applications héritées et modernes, et réduit le temps que vos équipes passent à résoudre les problèmes. En renforçant la protection du centre de données jusqu'à l'utilisateur final, vous pouvez garantir aux clients une expérience numérique fluide et sûre à chaque fois.

Et vous n’êtes pas obligé de le faire seul. Ou soyez une entreprise née dans le cloud avec une grande équipe de sécurité. Prenons l’exemple de la Direction de l’agriculture et de l’économie rurale (ARE) du gouvernement écossais. Ils ont répondu avec succès aux défis de sécurité et de transformation numérique en optant pour un service géré qui permet une sécurité multicouche dans tous les environnements.

Rencontrez les développeurs là où ils se trouvent

La sécurité ne peut plus être une considération secondaire dans le processus de développement. Tout comme les équipes DevOps s'associent à leurs collègues produits pour rationaliser et accélérer le développement et le déploiement, SecOps peut aider à simplifier la création de sécurité dans l'application en s'engageant avec les équipes de développeurs pour définir et créer des politiques de sécurité d'application déclaratives, intégrer la sécurité dans leurs chaînes d'outils CI/CD préférées et garantir que tout le monde peut exploiter la télémétrie pour affiner et protéger l'application.

En fournissant aux créateurs d’applications des tableaux de bord, des garde-fous et des outils faciles à utiliser, vous pouvez réduire le désir de contourner les pratiques de sécurité tout en aidant les développeurs à résoudre leurs problèmes et à faire avancer l’entreprise. Des entreprises comme Audi le font aujourd’hui dans leurs environnements modernes basés sur des microservices pour stimuler l’innovation tout en garantissant que la sécurité est intégrée à la plateforme .

Mettez vos fournisseurs au défi

En plus de ces recommandations internes, les responsables de la sécurité doivent également regarder vers l’extérieur et poser aux fournisseurs des questions difficiles :

• Votre fournisseur est-il un leader d’opinion en matière de sécurité ? Il ne se contente pas d’aider les clients à résoudre leurs problèmes aujourd’hui, mais il anticipe activement ce qui va suivre ?
• Leur produit (ou mieux encore leur plateforme) est-il axé sur les API ? Vous souhaiterez que ce soit le cas pour l’orchestration de la gestion, l’application en ligne et l’amélioration plus facile de la posture de sécurité du nombre croissant d’API que vous utilisez pour fournir des services à vos clients (contribuant aux deux milliards d’API actives prévues dans le monde d’ici 2030 ).
• Si vous faites partie des 87 % d'organisations qui exploitent à la fois des applications héritées et modernes et des 77 % qui exécutent des applications dans plusieurs clouds , les solutions de votre fournisseur fonctionnent-elles sur différentes architectures, quel que soit l'endroit où vos applications sont déployées ?
• Sont-ils investis dans l’intégration avec les principales chaînes d’outils et plateformes d’analyse de données ? C'est fondamental car 98 % des organisations reconnaissent qu'elles ne disposent pas actuellement des informations dont elles ont besoin pour atteindre leurs objectifs commerciaux et améliorer l'expérience client.
• Étudient-ils comment l’automatisation , l’apprentissage automatique et l’IA peuvent être utilisés pour rendre votre sécurité plus rapide, plus efficace et plus proactive, avec peu de ressources ?
• Peuvent-ils vous permettre d’accroître la sécurité des applications et des API à chaque étape du processus d’évaluation et d’atténuation des menaces ?

Demandez les capacités dont vous avez besoin pour protéger les clients et aider l’entreprise à offrir des expériences fluides et satisfaisantes tout en faisant face à une pénurie de ressources et de talents. Et si votre fournisseur actuel ne peut pas répondre à vos exigences, envisagez de chercher ailleurs.

Et ensuite ?

Alors que la sécurité occupe une place de plus en plus centrale au sein du conseil d’administration, vous avez l’opportunité de défendre les meilleures pratiques dans des domaines tels que la modernisation informatique, la migration vers le cloud, la sécurité des applications et des réseaux et l’accès Zero Trust. En atténuant les risques liés à l’innovation, vous pouvez permettre à l’entreprise de progresser dans sa transformation numérique sans sacrifier la confiance des clients.

Commencez dès maintenant à aider les équipes de votre organisation à développer une mentalité axée sur la sécurité. Collaborez avec d’autres groupes fonctionnels, notamment les équipes produit et expérience client, pour fournir les fonctionnalités dont ils ont besoin. Et adoptez des solutions de plateforme simples à mettre en œuvre et à exploiter, nécessitant moins d’intervention humaine, s’intégrant aux partenaires de l’écosystème et s’adaptant pour faire face aux nouvelles menaces et vulnérabilités.

Pour réussir à sécuriser une entreprise numérique, il faut gérer un éventail de risques sans négliger d’autres objectifs du monde réel. Cela signifie équilibrer les performances acceptables, l'expérience client et les coûts avec une protection acceptable et la conformité en matière de sécurité. En rendant les solutions de sécurité plus accessibles, en dotant les développeurs d’outils faciles à utiliser et en mettant vos fournisseurs au défi d’en faire plus, vous pouvez assurer la sécurité de l’entreprise tout en contribuant à offrir des expériences client inspirantes qui stimulent et alimentent la croissance.