Dans le cadre de la publication de son Livre Blanc “Réussir son projet de transformation digitale“, Sopra Steria, l’un des leaders européen de la transformation numérique propose de vous guider lors de la construction et du déploiement de votre Digital Booster Plaform en prenant en compte l’approche de la cyber-sécurité.
La transformation digitale crée de nouvelles exigences et de nouveaux risques en matière de cyber-sécurité. Cela nécessite une approche de la sécurité profondément remaniée et focalisée sur deux grands objectifs : permettre aux utilisateurs d’employer de nouveaux services en toute confiance et garantir une parfaite maîtrise des risques informatiques pour l’entreprise.
Le risque informatique n’a jamais été aussi important
Les nouveaux services digitaux, souvent conçus dans des Labs sous forme de prototypages itératifs intègrent rarement tous ces enjeux de sécurité. Les exemples sont nombreux d’objets connectés ou de nouvelles solutions qui ont été piratés dès leur sortie.
La plus grande ouverture des systèmes d’information qui permet à des sous-traitants d’accéder aux applications depuis l’autre bout du monde ou aux employés de se connecter avec leur smartphone personnel remet en cause les stratégies classiques de sécurisation car le SI est connecté à des réseaux et des machines dont on ne maîtrise plus la sécurité.
Si on ajoute à cela une montée en puissance de la cybercriminalité, il est indéniable que le risque informatique n’a jamais été aussi important.
Repenser les stratégies de sécurisation du SI est donc une nécessité. Avec la transformation digitale des sociétés, c’est l’ensemble de la chaîne qui doit être protégée de bout-en-bout des cyber-menaces, impliquant de la veille et de la surveillance mais aussi une parfaite maîtrise des gestions des crises liées aux possibles cyberattaques.
Pour une entreprise actuelle exploitant le Big Data, l’enjeu est double : il faut à la fois protéger les données internes de la société, mais aussi les données des employés, des clients et des fournisseurs. Cela peut se faire à l’aide de l’anonymisation des données mais la difficulté se situe par rapport à la traçabilité des utilisateurs. Du coup, on retrouve une approche bien différente de la sécurité par rapport aux méthodologies classiques.
Avec la transformation digitale des sociétés, c’est l’ensemble de la chaîne qui doit être protégée de bout-en-bout des cyber-menaces, impliquant de la veille et de al surveillance mais aussi une parfaite maîtrise des gestions des crises liées aux possibles cyberattaques.
Penser sécurité dès la conception
Pour garantir le succès de la transformation digitale, il est donc impératif d’intégrer les enjeux de sécurité dès les premières étapes de conception et tout au long du cycle projet. On parle alors de conception secure by design, c’est à dire de solutions conçues nativement pour prendre en compte l’ensemble des enjeux de sécurité avec une vision transverse.
Une approche secure by design est essentielle car sécuriser a posteriori une application peut s’avérer très complexe.
Protéger nos utilisateurs, une exigence absolue
Les nouveaux services digitaux ambitionnent de faciliter la vie des citoyens, des employés en leur proposant des services sur-mesure et qui anticipent leurs besoins. Ces nouveaux services collectent des informations personnelles en analysant l’usage des applications mobiles, web ou au moyen d’objets connectés et exploitent ces données grâce aux technologies de BigData.
Encore faut-il que les utilisateurs acceptent que l’on utilise leurs données. Il a fallu plusieurs années pour que le grand public accepte de saisir son numéro de carte bleue sur les sites marchands. La transformation digitale ne se fera donc que si les utilisateurs ont confiance dans les nouveaux services digitaux.
Le récent règlement européen sur la protection des données voté en avril 2016 et applicable en 2018, oblige les entreprises à avertir les autorités et les personnes dont les données auraient été piratées et encadre précisément l’usage des données personnelles. L’utilisateur doit être averti de l’usage qui est fait de ses données et doit donner son consentement. Je vous laisse imaginer l’embarras d’un DRH, obligé d’avertir ses employés que ses données RH circulent sur le darknet ou un webmarchand, devant déclarer que sa base client a été piratée. La perte de confiance des utilisateurs pourrait avoir des conséquences dramatiques.
Mais la protection des utilisateurs ne s’arrête pas à la sécurisation de l’infrastructure informatique. Les utilisateurs sont très souvent la principale faille. Beaucoup d’attaques ciblent leur naïveté (Fishing, social engineering, arnaque au faux président…). Des millions de mots de passe piratés ces dernières années circulent sur le Darknet (dont des comptes Twitter, Linkedin, Adobe…) et comme la plupart des personnes utilisent les mêmes login et mots de passe depuis des années le piratage de leur compte est d’une simplicité enfantine. Il faut donc concevoir ces nouveaux services de manière à limiter les possibilités d’arnaques et informer les utilisateurs des bonnes pratiques.
Un dernier sujet à traiter avec soin : la conciliation de la protection de la vie privée avec le besoin de traçabilité des utilisateurs pour des raisons évidentes de sécurité.
A l’heure où le succès d’un projet passe inévitablement par la confiance numérique, les aspects cybersécurité doivent être traités avec la plus grande vigilance. Mais cette approche doit être faite avec une vision réellement transverse qui aborde tous les aspects de la sécurité et doit être pilotée avec rigueur et adaptée en permanence aux nouvelles menaces. Le SI est comme une grande maison, inutile de blinder toutes les portes et fenêtres si la clé de la maison est sous le paillasson !
Retrouvez l’ensemble des thématiques abordées dans le Livre Blanc ici.
Note : article sponsorisé par Sopra Steria
Les commentaires sont fermés.