La complexité pourrait être votre plus grand risque
Comment améliorer la résilience et progresser avec l'IA
La cybersécurité a-t-elle vraiment progressé au cours de ces 20 dernières années ? Malgré l'augmentation des budgets de sécurité et la croissance des effectifs de sécurité, le nombre d'attaques et de violations continue de grimper.
Selon notre récente enquête sur l'état de préparation de la cybersécurité :
41 % des personnes interrogées ont déclaré que leur entreprise a été victime d'une compromission au cours de l'année passée
Le nombre de personnes interrogées qui ont déclaré se sentir prêtes à se défendre contre une cyberattaque a baissé de 29 % par rapport à l'année précédente
58 % des personnes interrogées s'attendent à assister à une augmentation des compromissions au cours de l'année à venir
Alors, quel est le problème ?
C'est la complexité qui est à la source de ces problèmes. Dans notre enquête, 86 % des personnes interrogées s'accordaient à dire que la complexité rend leur entreprise plus vulnérable aux attaques. Tant que nous ne serons pas en mesure de remédier à cette crise liée à la complexité, nous ne pourrons pas inverser la tendance à la hausse des attaques, ni accomplir des progrès significatifs au sein de nos entreprises.
Le problème de la complexité
Il ne fait aucun doute que les environnements informatiques sont devenus plus complexes. En effet, l'époque où les équipes informatiques fournissaient des ressources technologiques exclusivement depuis un datacenter sur site, à des collaborateurs travaillant exclusivement dans un bureau au sein de l'entreprise, est désormais révolue. Aujourd'hui, la prise en charge d'effectifs hybrides présents dans le monde entier repose sur une multitude d'environnements cloud et d'applications SaaS, ainsi que sur des datacenters sur site.
Les équipes de sécurité ont augmenté cette complexité en déployant de nombreux outils de sécurité, dont certains présentaient des fonctionnalités redondantes. D'ailleurs, dans cette récente étude consacrée à l'état de préparation des entreprises, 49 % des personnes interrogées ont déclaré que leur entreprise dispose de plus de 20 outils de sécurité. Et ce nombre ne fait qu'augmenter : 82 % des personnes interrogées ont ajouté des fournisseurs et des outils supplémentaires cette année.
De nombreuses entreprises ont déployé de grandes équipes de sécurité afin d'assurer la gestion de tous ces outils. Plus de la moitié des personnes interrogées dans le cadre de notre étude déclarent que leur entreprise mobilise des équipes réunissant plus de 100 personnes.
Cependant, ma propre expérience m'a appris qu'il ne suffit en aucun cas de disposer d'un budget et d'une équipe colossaux. Dans l'un de mes précédents rôles de RSSI, je gérais un budget d'un milliard de dollars et une équipe de 1 500 personnes. Nous étions convaincus que nous pouvions faire face à toutes les menaces. Néanmoins, lors des réunions de planification stratégique, l'équipe n'avait que deux demandes : plus d'argent et plus de personnel.
Le problème n'était pas la quantité apparemment infinie de ressources, mais la complexité.
Pourquoi la complexité est-elle un problème ? Lorsque vous êtes aux prises avec la complexité, vous ne pouvez pas espérer résoudre les difficultés auxquelles vous vous heurtez actuellement en matière de sécurité. En cas de compromission, vous ne pouvez pas déterminer rapidement la nature de l'événement, ni assurer un rétablissement rapide. La complexité ralentit également l'innovation. Plus vous consacrez de temps et d'argent à la gestion de la complexité, moins vous disposez de temps et d'argent pour mettre en œuvre de nouveaux projets, tels que le déploiement de l'IA.
Bâtir une meilleure résilience
L'un des défis les plus urgents que doivent relever les entreprises du secteur informatique consiste à développer leur résilience. Les attaques et les compromissions ne cesseront pas ; nous devons donc être prêts à réagir et à assurer un rétablissement rapide après un incident.
Les équipes de direction et les conseils d'administration des entreprises exigent de la résilience, et les autorités réglementaires considèrent la résilience comme non négociable. Si nous n'intégrons pas, de notre propre initiative, la résilience à notre planification, ce sont les autorités réglementaires qui exigeront que nous le fassions, comme elles l'ont fait avec les sociétés de services financiers.
Toutefois, la complexité complique considérablement la résilience ; en effet, il peut être très difficile de préserver la sécurité dans un environnement informatique complexe. Votre équipe peut avoir des difficultés à gérer la mise en œuvre des mises à jour et des correctifs de sécurité sur l'ensemble des composants et risque, par conséquent, de laisser des failles de sécurité pouvant ensuite être exploitées par des acteurs malveillants. La complexité rend également plus difficile l'évaluation de votre stratégie en matière de résilience, avant que des attaques ne surviennent.
En cas d'attaque, votre équipe ne sera pas en mesure de réagir ou d'assurer un rétablissement rapide. Plus l'ensemble des composants et des outils système deviennent interconnectés et dépendants, plus il devient difficile d'isoler les menaces et d'empêcher leur propagation. Et une fois l'attaque terminée, le rétablissement de l'ensemble des systèmes peut demander des jours ou des semaines, voire des mois entiers.
Se recentrer sur l'impératif de l'IA
Sans résilience, nous ne pouvons pas soutenir le développement de notre entreprise. Nous ne pouvons pas soutenir et encourager de manière adéquate les initiatives les plus importantes, notamment celles centrées sur l'IA.
En tant que RSSI, on me demande souvent si je suis optimiste ou pessimiste au sujet de l'IA. Ma réponse est que nous devons être les deux à la fois. Nous devons nous préparer à en accepter les avantages et en maîtriser les risques ; même si les risques paraissent considérables, il n'y aura désormais pas de retour en arrière. Dans un avenir très proche, il n'existera vraiment plus que deux types d'entreprises : celles qui auront su adopter l'IA et celles qui ont cessé d'exister.
En tant que leaders dans le domaine de la sécurité, nous devons aider nos entreprises à progresser grâce à l'IA. Toutefois, nous ne pouvons pas soutenir l'impératif qu'incarne l'IA si nous nous heurtons à la difficulté que représente la gestion d'une multitude d'outils. Par exemple, une équipe opérationnelle peut souhaiter déployer rapidement un nouveau grand modèle de langage dédié à l'assistance client. Cependant, si l'équipe de sécurité de cette entreprise met des jours, voire des semaines entières pour obtenir des autorisations et modifier les règles de pare-feu en amont du déploiement, l'entreprise perdra l'avantage concurrentiel lié à ce déploiement.
Parallèlement, nous voyons déjà de quelle manière l'IA sera utilisée contre nous. Nous assistons à des compromissions des modèles IA, à des empoisonnements de données et à des attaques par phishing renforcées par IA. Si nous gérons six pare-feu WAF et quatre fournisseurs SASE, il devient impossible de lutter contre ces menaces émergentes – et encore moins envisageable de soutenir les initiatives en matière d'IA. Je peux en attester par moi-même, ayant travaillé dans une entreprise qui gérait six pare-feu WAF lorsque je l'ai rejointe.
Nous devons adopter l'IA sans réserve et nous concentrer sur la progression de notre entreprise. Que pouvons-nous faire pour évoluer ? Nous devons comprendre comment sécuriser l'IA et comment redéfinir notre objectif de modèle opérationnel, et nous devons également recruter des professionnels de la cybersécurité spécialistes de l'IA. Et surtout, nous devons simplifier et consolider nos systèmes, afin de pouvoir consacrer notre temps et nos ressources aux projets liés à l'IA.
Agir maintenant
De nombreuses équipes de sécurité ont élaboré des programmes sur trois ou cinq ans ; en d'autres termes, dans un avenir proche, leurs entreprises seront plus sécurisées. Toutefois, les attaques et les violations augmentent actuellement en nombre, et en attendant, nous devons commencer à préparer notre entreprise pour l'avenir de l'IA. Nous devons donc aborder sans tarder la question de la complexité.
Que devez-vous faire maintenant pour vous lancer ?
Consolider les outils : lorsque j'ai débuté, je dirigeais une organisation au sein de laquelle nous disposions de 52 outils de sécurité. Nous avons réussi à réduire ce nombre à 17 – c'est donc réalisable ! Vous pouvez éliminer des outils, et ainsi, renforcer la sécurité de l'entreprise. Un outil unique peut être meilleur que trois outils distincts, à condition de disposer de l'outil adéquat et d'allouer les ressources indispensables à son utilisation.
Échangez avec vos pairs afin de découvrir comment ils résolvent le problème que constitue la complexité, et demandez-leur quels outils ils ont sélectionnés durant le processus de consolidation.Rationaliser les processus : la consolidation des outils permettra de rationaliser les processus. En supprimant les outils et les étapes manuelles d'un processus, vous pouvez finaliser plus rapidement ce processus et réduire la marge d'erreur.
Mettre en œuvre une architecture de sécurité moderne : pour de nombreuses entreprises, un cloud de connectivité peut contribuer à réduire considérablement la complexité. Un cloud de connectivité fournit la connectivité point-à-point (any-to-any) indispensable aux entreprises pour intégrer n'importe quels cloud, datacenter ou réseau. Dans le même temps, il permet de consolider une multitude de services de sécurité cloud-native sur une plateforme unique et unifiée. Vous évitez ainsi les intégrations chronophages, éliminez les failles de sécurité et épargnez aux membres de l'équipe la nécessité de basculer continuellement d'une interface vers une autre.
Si nous parvenons à réduire la complexité, nous pouvons améliorer notre visibilité des flux de données entrants et sortants sur le réseau. Nous pouvons améliorer la résilience, et ainsi, d'assurer un rétablissement plus efficace en cas d'attaque. Nous pouvons également nous concentrer davantage sur l'avancement des initiatives essentielles, notamment les initiatives en matière d'IA, qui figurent en tête de liste des priorités de chacun. Réduire la complexité peut être une tâche difficile, mais prioriser la réduction de la complexité aujourd'hui rapportera rapidement des bénéfices au regard du renforcement de la sécurité et du soutien à l'innovation.
Le cloud de connectivité de Cloudflare aide les entreprises à reprendre le contrôle et regagner de la visibilité dans les environnements d'entreprise les plus complexes. Il s'agit d'une plateforme unifiée et intelligente de services cloud-native programmables, dotée d'une interface unique et simplifiée, conçue pour faciliter la consolidation des fournisseurs.
Cet article fait partie d'une série consacrée aux nouveaux sujets et tendances qui affectent les décideurs technologiques aujourd'hui.
Approfondissez le sujet.
Découvrez comment un cloud de connectivité peut vous aider à remédier à la crise de la complexité qui ralentit votre entreprise dans notre e-book intitulé « Le cloud de connectivité : une approche pour reprendre le contrôle de l'informatique et de la sécurité ».
Auteur
Grant Bourzikas – @grantbourzikas
Chief Security Officer, Cloudflare
Conclusions essentielles
Cet article vous permettra de mieux comprendre les aspects suivants :
Pourquoi la complexité ralentit les entreprises
Comment la complexité affecte la résilience et ralentit l'innovation en matière d'IA
Comment vous pouvez commencer à remédier à la complexité dès maintenant