Le monde informatique et ses services ont changé de peau. Ils se sont simplifiés, mais surtout externalisés, posant des questions de cybersécurité cruciales. La faute à une IT curative et contraignante, parfois même punitive qui, ces dernières années, a poussé les individus à la contourner. Les salariés, à qui l’on refusait un outil de travail interne, se sont tournés vers des services d’acteurs privés. L’arrivée du BYOD a initié ce phénomène et l’apparition des services « SaaS » l’a accéléré. Dans ce contexte, de plus en plus de gens manipulent des données, de la chargée d’accueil à la gestionnaire RH en passant par les commerciaux et les techniciens. Et ces données s’externalisent de plus en plus… En entreprise, c’est toute la chaîne de données qui doit être protégée. Comment ? En lâchant du lest et en accompagnant les transformations métiers.
Une IT punitive est une IT non maîtrisée
Auparavant, lorsqu’on sécurisait un poste de travail en entreprise, le trafic qui n’était pas demandé et identifié était rejeté et tout ce qui sortait sans autorisation était bloqué. Ces mesures coercitives ont souvent contraint les salariés dans leur travail quotidien. Pour pouvoir accéder à un stockage plus important ou pour échanger des données, les salariés d’instinct se sont tournés vers des Dropbox, des Google Drive et autres services externes. Les données se sont rapidement externalisées mettant l’IT face à une perte de contrôle sur la sécurité de l’entreprise.
Cette externalisation non maîtrisée des données d’entreprises pose un certain nombre de problèmes. L’IT a dû réagir vite pour proposer de nouveaux services et n’a plus eu le temps de tester ses solutions avant leur livraison, créant un certain nombre de failles. Deuxièmement, il n’y a pas de visibilité sur ce que font les utilisateurs. Bien souvent, l’IT navigue à l’aveugle. Puis, ces nouveaux investissements n’avaient pas été budgétisés. La facture colossale pose la question suivante : qui aujourd’hui doit payer la facture ? La sécurité ou les métiers ?
Travailler main dans la main avec les métiers
Face à ces métamorphoses, deux grandes écoles s’affrontent. Celle qui invite à accompagner les métiers dans la transformation de leurs usages, c’est-à-dire à lâcher du lest et suivre les évolutions des besoins des « techniques ». L’autre plus conservatrice impose que tout protocole non validé soit interdit et que chaque demande soit validée, par un process interne.
Or, l’IT punitive gagnerait à devenir plus proactive. Les outils métiers ne doivent pas évoluer seuls. La sécurité doit aussi changer de paradigme et de vision, accompagnés par les employeurs. Il faut créer des ponts, des synergies. Elle devrait travailler main dans la main avec les équipes métiers, en participant par exemple à des réunions techniques « métier ». Le meilleur moyen de faire évoluer la sécurité et de protéger les données d’une entreprise, c’est de suivre leurs besoins. Car si l’IT bloque le travail des métiers, les individus l’outrepasseront quitte à y perdre en sécurité et mettre en péril l’entreprise pour pouvoir mener à bien leur travail.
De toute évidence, les métiers ont déjà trouvé le moyen d’obtenir ce qu’ils désirent, quitte à « bypasser » la sécurité. Mais si l’IT parvient à comprendre que le métier prime, et qu’aujourd’hui l’entreprise fabrique de la valeur grâce à eux, c’est déjà un grand pas pour la cybersécurité.
Les entreprises prêtes à changer ?
Sur le papier, toutes les entreprises affirmeront qu’elles sont toujours prêtes au changement. Dans les faits, peu sont prêtes à changer là, maintenant, dès demain. Les salariés les premiers, mais aussi les équipes dirigeantes sont réfractaires au changement, car il nécessite une évolution des mentalités et des process. D’autre part, le budget alloué à la sécurité n’ira jamais au-delà du coût que représente le risque. Elles assurent leurs arrières : les investissements de minimum vital, pour éviter l’amende. Au-delà, c’est une autre affaire.
Pourtant, des entreprises ont déjà amorcé leur transition. Ce sont souvent celles qui ont subi un électrochoc de plus en plus courant : la cyberattaque. Sous les feux des projecteurs médiatiques, leur mue est plus rapide. À terme, les entreprises qui ont déjà évolué y ont gagné en sécurité, en dynamisme de travail et en productivité. La sécurité ressemble de près ou de loin au paysage audiovisuel. Plus personne ne souhaite des services protocolaires, structurés et bornés. Les individus paient des services à la carte personnalisés, qui correspondent à leurs besoins et leurs envies. Quel utilisateur de « Netflix » veut retourner à des programmes télé fixes à heure et date fixe ? Dans la même perspective, l’IT et les métiers de demain doivent abattre les contraintes. Il faut sécuriser sans contrainte en adéquation avec les métiers pour qu’ils retrouvent la sensation que l’IT ne travaille pas contre eux, mais avec eux. La sécurité doit impérativement suivre le métier dans cette agilité et ne plus imposer et contraindre.
Par Jacques-Bruno Delaroche, Ingénieur Avant-Vente chez Exclusive Networks
