La cybersécurité, accélérateur de la transformation digitale ?

Mais comment se fait-il alors que la cybersécurité soit encore souvent vue comme le point faible de la transformation numérique, comme un boulet qui freine, comme un empêcheur de transformer en rond ? La cybersécurité est en effet considérée par certains acteurs et bénéficiaires de la transformation numérique comme un exercice lourd, chronophage et donc il est difficile de voir la valeur.

Là où les technologies numériques permettent de réduire les contraintes matérielles, d’accélérer les processus, de faciliter la vie des collaborateurs et des clients, la cybersécurité peut être vue comme ralentissant la transformation et alourdissant les interactions. Cette dichotomie existe durant le projet de transformation, mais également après, quand des utilisateurs pourtant demandeurs d’un niveau de sécurité élevé, rechignent à se soumettre à des mécanismes de sécurité contraignants. On peut citer par exemple des règles sur la composition des mots de passe.

La perception de la cybersécurité par les équipes en charge de la transformation numérique, par les métiers et par les utilisateurs, a souvent été influencée par leurs expériences passées en matière de sécurité informatique. Les différentes vagues d’informatisation des entreprises (site central, informatique distribuée, web, ERP, etc.) se sont en effet traduites par une philosophie de la sécurité basée sur l’application, pour ne pas dire l’empilement, d’un nombre conséquent de mesure de sécurité préventives et dont l’efficacité et l’utilité se sont révélées de moins en moins évidentes au fil des ans.
Cette lourdeur a parfois eu comme corolaire une tentation d’évitement par les responsables de projet. Plus d’un responsable Cybersécurité a pris connaissance d’un projet métier alors qu’il était déjà lancé, voire qu’il était sur le point d’être mis en production. La prise en compte de la cybersécurité dans le projet est alors plus couteuse car elle est traitée a posteriori, alors que des décisions structurantes ont déjà été prises.

L’adoption de nouvelles technologies pose également la question des moyens de la maitrise des risques associés et de la démonstration de cette maitrise aux parties prenantes, aux clients et aux régulateurs. L’un des exemples les plus significatifs de cette question est le Cloud. Les technologies et les services Cloud sont en effet au cœur de la transformation numérique de la plupart des entreprises.

Les principaux fournisseurs de Cloud ont beaucoup investi sur des mécanismes et processus très avancés pour assurer la cybersécurité des données et traitements hébergés. Et pourtant, du fait de l’externalisation de ces données et traitements, il est souvent difficile pour les entreprises de démontrer le respect des exigences de conformité et la maitrise des risques, car elles n’ont pas la main sur les éléments de preuve nécessaires.

Un autre sujet de friction est la prise en compte de la cybersécurité dans les approches itératives de gestion de projet de type Agile, très prisées dans les programmes de transformation numérique. Les méthodes d’intégration de la sécurité dans les projets sont historiquement basées sur des méthodologies de développement de type « cycle en V ». Les différentes diligences en matière de cybersécurité (analyse des risques, exigences de sécurité, tests de sécurité) s’intègrent bien dans un cycle de développement se comptant en mois.

Les choses sont plus compliquées dans les approches Agile, dans lesquelles les fonctionnalités et les développements évoluent très vite. On constate d’ailleurs souvent que les équipes suivant des méthodologies Agile, ne respectent pas les prescriptions traditionnelles en matière de cybersécurité, car elles les jugent (et elles ont raison) inadaptées.

L’entrée en vigueur du RGPD (Règlement Européen sur la Protection des Données) en 2018, a contribué à faire évoluer la situation. Le « Privacy by Design » est en effet une obligation légale dès lors que des données personnelles sont collectées, ce qui représente un pourcentage non négligeable des projets de transformation numériques. Le Privacy by Design exige que la protection des données personnelles (dans laquelle la cybersécurité tient une grande place) soit prise en compte dès le début d’un projet, et ce pendant toute la durée du cycle de vie des données personnelles.

En outre, des approches basées sur les risques sont de plus en plus utilisées, dans lesquelles une analyse de risque permet d’identifier les scénarios de cyberattaques contre lesquels il s’agit de protéger l’entreprise et ses clients. Les métiers sont impliqués dans de telles analyses, ce qui permet d’identifier de manière précise les risques pour chaque périmètre.

Des méthodologies comme EBIOS Risk Manager peuvent être utilisées pour mener de tels travaux. Des catalogues de mesures de sécurité peuvent ensuite être utilisés pour sélectionner les mesures strictement nécessaires, sans empiler les couches. C’est l’un des rôles du responsable Cybersécurité d’accompagner les projets dans les analyses des risques et de leur mettre à disposition de tels catalogues.

Les solutions de cybersécurité évoluent également et certaines permettent d’atteindre un niveau de sécurité intéressant sans représenter une contrainte trop importante pour les utilisateurs. Par exemple, des logiciels peuvent être utilisés pour analyser les situations et les comportements des utilisateurs, afin de limiter les cas où l’utilisateur se voit demander des preuves d’authentification (mot de passe, code envoyé par SMS). Ainsi, lorsque l’utilisateur consulte une application depuis son poste de travail sur lequel il s’est connecté en début de journée, l’application ne demande rien. Par contre, si un utilisateur accède à l’application depuis l’étranger ou s’il veut exécuter une transaction sensible, une nouvelle preuve d’authentification lui sera demandée.

Dans le domaine des approches Agile également, les choses avancent et on commence à voir une intégration de la cybersécurité dans les projets, avec des experts cybersécurité qui accompagnent et conseillent au quotidien les équipes Agile dans l’identification et la prise en compte des risques de cybersécurité.

Aussi paradoxal que cela puisse paraître, la cybersécurité peut même devenir un accélérateur de la transformation numérique. Des analyses de risques, accompagnées d’une collaboration constructive entre métiers, équipes digitales et responsables Cybersécurité, peuvent permettre d’identifier et de traiter proactivement des risques, en utilisant les mesures de maitrise des risques les plus adaptées.

Les catalogues de solutions de sécurité et les bibliothèques de fonction de sécurité permettent d’éviter de perdre du temps à sélectionner des outils ou à écrire un code déjà existant. Des processus de provisioning de machines virtuelles sécurisées permettent par exemple de déployer rapidement des prototypes, assurant un niveau de sécurité adéquat. L’intervention d’experts sécurité permet d’éviter de perdre du temps et de l’énergie à tenter de maitriser des risques improbables, et de se concentrer sur les vrais risques.

La cybersécurité peut également permettre d’accroitre la valeur perçue de la transformation numérique par les personnes intéressées au premier chef, les utilisateurs, les collaborateurs, les consommateurs ou les citoyens. Les enquêtes montrent en effet un niveau d’inquiétude grandissant de ces populations quant à la capacité des organisations à protéger correctement leurs données.

Certes, il existe une certaine schizophrénie entre des utilisateurs soucieux de la sécurité, mais voulant toujours plus de facilité et moins de contraintes. Mais c’est justement dans ce domaine qu’une cybersécurité intelligente et collaborative peut apporter à l’entreprise, au-delà de la protection contre les cybermenaces et de la conformité réglementaire, un véritable avantage concurrentiel.

Article écrit par :

Vincent Maret

Partner, KPMG Advisory, Cyber Security Services