La sécurité est l’affaire de tous. Depuis une dizaine d’années, de nombreuses cyberattaques comme NotPetya, Wannacry, ou encore plus récemment Locker Goga, ont marqué les esprits. Leur ampleur et leurs conséquences financières ont été largement médiatisées et aucune organisation ne peut aujourd’hui ignorer les menaces qui pèsent sur elle.
La vulnérabilité a augmenté avec l’utilisation généralisée de l’informatique et le recours aux technologies du numérique faisant de la cybersécurité un véritable enjeu, souvent réservé aux experts. Ce sujet est pourtant plus que jamais l’affaire de tous. Elle ne se limite pas à déployer des systèmes de protections aussi sophistiqués soient-ils, il s’agit avant tout d’instaurer une culture de la sécurité au sein de l’entreprise. Non seulement les menaces informatiques se sont sophistiquées, mais elles exploitent surtout les moindres faiblesses. Aujourd’hui, les risques ne concernent pas uniquement des actes de malveillances mais portent très souvent sur des maladresses, des erreurs humaines ou sur une vigilance amoindrie.
La sécurité est d’abord une question de discipline. Des gestes et des habitudes simples et systématiques peuvent éviter de nombreux déboires. En effet, l’expérience montre qu’une grande majorité des attaques pourrait être stoppée en respectant une discipline stricte en matière de sécurité. Cela suppose de définir des règles et des principes qui s’appliquent à toute l’organisation, au-delà des équipes en charge de la sécurité, et de s’assurer qu’ils sont appliqués et suivis. Il est par ailleurs moins coûteux et plus efficace d’intégrer la sécurité dès la conception que d’apporter des solutions par la suite. Pour instaurer une culture de la sécurité on peut s’inspirer du mouvement « Rugged Software » et « Rugged DevOps ». La priorité de cette approche consiste à s’assurer que le code est sûr à toutes les étapes du cycle de vie du logiciel. Dans le manifeste du mouvement « rugged » il est clairement affirmé que le secret pour écrire un code sûr est de changer la culture du développement logiciel. Bien que ce mouvement concerne le code et le développement logiciel, les principes énoncés peuvent s’étendre à l’ensemble de l’entreprise.
La sécurité ne doit pas être perçue comme un frein à l’agilité. Il existe aujourd’hui de bonnes pratiques qui fournissent des manières peu coûteuses de réduire la vulnérabilité sans pour autant ralentir les processus de développement ni imposer de contraintes excessives aux utilisateurs. Pour que ces bonnes pratiques portent leurs fruits, elles doivent être connues et partagées au sein de l’entreprise. Rappelons une fois encore que la sécurité ne doit pas être le domaine réservé des geeks et des experts en sécurité. L’éducation et l’information sont essentielles pour édifier une culture de la sécurité. Il est important de réaliser que la menace est dorénavant constante.
La sécurité n’est jamais définitive et doit donc s’inscrire dans un processus d’amélioration continue. Il s’agit notamment de :
- Établir constamment un lien entre la sécurité et les objectifs d’un projet ;
- Intégrer la sécurité dans tous les processus et corriger rapidement toute erreur détectée ;
- Définir des normes et des standards élevés en matière de sécurité ;
- Adopter une approche zéro défaut ;
- Vérifier en permanence l’efficacité de la sécurité dans le développement et la production.
Il est sans doute plus simple de mettre en place des outils de sécurité que d’établir une culture de la sécurité au sein d’une organisation. C’est pourtant une démarche essentielle pour progresser vers une entreprise résiliente et faire face aux menaces grandissantes du monde numérique.
Commentaire