Première clé : Prioriser les aspects contractuels et audits
Travailler en étroite collaboration avec des juristes, des experts conformité, des partenaires d’audit et des régulateurs est fondamental. Au même titre que les experts techniques sécurité, ces équipes sont chargées de protéger leurs organisations et doivent être impliquées le plus tôt possible dans la mise en place de nouveaux projets. Elles doivent aussi être consultées régulièrement sur les travaux en cours afin de suivre et pouvoir appliquer les nouvelles normes et régulations.
Pour assurer la sécurité des organisations, la communication proactive avec les juristes et les partenaires d'audit est une priorité. Cela semble évident, mais il est fréquent que des entreprises mettent en place leurs systèmes de contrôle interne et se lancent, pour finalement échouer parce qu'elles ne se sont pas correctement coordonnées avec les bonnes équipes. Les responsables de la sécurité doivent donc repenser les étapes nécessaires de leur processus de sécurité pour garantir de manière proactive le respect des exigences en termes d'audit et de conformité.
Bien souvent, les organisations à la pointe de la sécurité qui adoptent le plus rapidement le cloud instaurent un processus de sécurité clair, et s’appuient sur des fournisseurs qui mettent continuellement à jour leurs services existants et en déploient de nouveaux. Les clients les plus performants disposent d'un processus établi pour communiquer d’éventuels changements à leurs équipes concernées. Ils partagent aussi largement la documentation interne qui énumère clairement les services autorisés, ceux qui peuvent traiter des données restreintes ou non restreintes.
Deuxième clé : Tirer profit de l’automatisation
Les équipes sécurité doivent suivre constamment les évolutions rapides de l’ingénierie logicielle. Dans les organisations de sécurité très performantes, les termes « automatisation » et « backlog » font désormais partie du champ lexical courant, et les pratiques dites Agile et DevOps y sont courantes.
En effet, ces entreprises ont compris que la sécurité n'est pas un élément que l'on doit ajouter après avoir développé un produit : elle doit être profondément intégrée au processus pour en accélérer le développement. Les clients qui ont adopté le cloud ont automatisé leurs tâches d'opérations de sécurité en plus du logiciel qu'ils développent. Un excellent exemple consiste à faire évoluer les règles de pare-feu. Il ne s'agit plus de se connecter à un équipement, mais d'exploiter le « logiciel en tant que code » ce qui permet de construire et tester de manière étroite, et déployer en quasi-temps.
L'automatisation des tâches de sécurité améliore le mode de fonctionnement de toute une équipe de sécurité. Parmi les moyens d'automatiser les fonctions de sécurité, il y a par exemple la création automatique de tickets et la remontée des alertes pour assurer une action appropriée et dans les temps.
Une manière de procéder est de recruter ou former des développeurs SecOps. Ils intègrent et automatisent la sécurité dans les projets, et libèrent les équipes centrales de sécurité pour des tâches plus large et à plus forte valeur ajoutée que des audits manuels. Les responsables de la sécurité des systèmes d'informations (RSSI) les plus performants mettent en place des garde-fous plutôt que des barrières, ce qui permet aux équipes de développement et commerciales de prendre davantage de responsabilités en matière de sécurité. Il ne s'agit pas d'abandonner le contrôle, mais d'encourager les autres équipes à se sentir investies et responsables.
Troisième clé : Pratiquer la prise de décision agile
Les entreprises avaient l'habitude de mettre en place des processus d'acquisition de technologies qui supposaient des investissements importants : matériel, logiciel et intégration par des partenaires. Les décisions étaient plus longues à prendre car non réversibles et complexes à déployer. Pour la sécurité, cela signifiait que la période d'élaboration de stratégies pouvait être longue. Mais dans un monde de services cloud, les déploiements se font en quelques minutes seulement. Cela implique que les décisions relatives aux risques et à la sécurité doivent être prises plus rapidement, sous peine de perturber l'activité.
Dans les organisations performantes en matière de sécurité, si quelque chose semble anormal, la règle est de le faire remonter le plus vite possible. Il est préférable d’analyser rapidement, de disposer des bonnes données et d’escalader au plus tôt aux bons décideurs, plutôt que d‘être paralysé dans l’analyse exhaustive des données. En général, il suffit d’avoir 80% des informations pour une bonne prise de décision. Attendre d’avoir 100% des informations c’est arriver trop tard. La vitesse est clef en sécurité.
En cas d’escalade, il est préférable de remonter des informations non filtrées, sans attendre l’analyse des experts, avant de s’adresser à la hiérarchie ; toujours dans un souci de rapidité de décision. Mettre un intermédiaire entre l’expert et le décideurs, c’est risquer de perdre en clarté et de diluer le problème. La hiérarchie aura forcément des questions complémentaires et vous avez besoin d’avoir les experts immédiatement disponibles. En fin de compte, toute personne en charge d’un produit doit se sentir responsable. Une compréhension approfondie découle d'un sens profond de la responsabilité, et permet d'identifier rapidement les causes lorsque les choses tournent mal. Certaines organisations encouragent des systèmes de binôme : lorsqu'un expert part en vacances ou est indisponible, le binôme présent, prêt à intervenir en cas de problème, avec l'expérience et l’habilitation de faire remonter l'information au bon moment.
Pour conclure, l'investissement et la participation des dirigeants sont également une qualité essentielle à la réussite des organisations les plus sécurisées. En effet, quels que soient le secteur dont ils sont issus, les dirigeants sont souvent curieux d’en apprendre plus sur la sécurité et encouragent les réunions, les mises à jour et les contrôles réguliers et fréquents.
Les organisations performantes font également en sorte que les changements apportés en matière de sécurité soient réduits et fréquents, plutôt que massifs et rares. Cela permet rapidement et à moindre coût. L'itération, plutôt que la recherche de perfection, est la clé du succès. Et puisque la rapidité est essentielle en entreprise, les décisions et les actions doivent être réversibles et ne pas nécessiter d'analyses trop longues. Et quoiqu’il en soit, les entreprises les plus florissantes sont conscientes que la prise de risque en matière de sécurité peut être saine, si elle est calculée.