L'émergence d'un nouveau rôle dirigeant : le Chief Zero Trust Officer
Ces derniers temps, la cybersécurité s'est imposée au premier plan des discussions au sein des conseils d'administration. Les tensions géopolitiques et l'instabilité économique actuelles ont intensifié la menace des cyberattaques, affectant des entreprises du monde entier, dans tous les secteurs de l'industrie. Les risques, au rang desquels figurent de graves attaques par rançongiciels et des violations de données susceptibles d'exposer des informations vitales concernant les clients, sont réels et potentiellement dévastateurs. Par conséquent, les entreprises deviennent toujours plus conscientes de l'importance d'une plus grande résilience et d'une meilleure préparation de leur cybersécurité. Les entreprises doivent réorienter leur stratégie de cybersécurité, en évoluant de la simple réaction aux attaques lorsqu'elles surviennent à la planification proactive de ces événements inévitables.
Ces dernières années, la stratégie de sécurité Zero Trust a connu un essor considérable. Son principe fondamental est simple : ne faire confiance à personne, et toujours tout vérifier. Les approches traditionnelles de la cybersécurité, fondées sur le périmètre du réseau, ne sont plus adaptées au panorama numérique décentralisé d'aujourd'hui, ce qui a conduit à l'adoption des architectures Zero Trust modernes. Pour assurer leur sécurité, les entreprises doivent vérifier l'identité et la fiabilité de l'ensemble des utilisateurs, appareils et systèmes qui accèdent à leurs réseaux et leurs données.
La sécurité Zero Trust retient, depuis un certain temps déjà, l'attention des chefs d'entreprise et des membres des conseils d'administration. Cloudflare a publié une étude intitulée « The Journey to Zero Trust », qui révèle que 86 % des personnes interrogées connaissaient le concept Zero Trust. L'architecture Zero Trust n'est plus simplement un concept, mais une nécessité. À l'heure où le télétravail ou le travail hybride sont devenus la norme et le nombre de cyberattaques continue d'augmenter, les entreprises prennent conscience qu'elles doivent adopter une approche radicalement novatrice de la cybersécurité. Ces changements stratégiques peuvent s'avérer difficiles à mettre en œuvre. Bien que de nombreuses entreprises aient commencé à déployer des processus et des technologies Zero Trust, rares sont celles qui les ont pleinement intégrés. Cloudflare a révélé que 65 % des entreprises ont commencé à mettre en œuvre des méthodes et des technologies Zero Trust. Il existe encore de nombreuses opportunités d'établir l'approche Zero Trust en tant que composante fondamentale de l'entreprise.
Pourquoi désigner un directeur de la sécurité Zero Trust, et pourquoi le faire maintenant ?
Plusieurs sociétés multinationales se heurtent à des difficultés durant la phase de mise en œuvre de leurs programmes Zero Trust. Ces problèmes sont souvent la conséquence d'un manque de clarté en matière de direction et d'imputabilité. Qui, « exactement », est responsable de l'adoption et du déploiement de l'architecture Zero Trust au sein de l'entreprise ? C'est ici que le rôle de « Chief Zero Trust Officer » (CZTO) peut potentiellement faire la différence.
Les grandes entreprises ont besoin de dirigeants compétents pour superviser l'ensemble de leurs activités et veiller au bon déroulement de leurs opérations. Les corporations confient les responsabilités de cette direction à des personnes endossant des rôles de « directeur », à l'image du directeur général ou du directeur financier. Il incombe à ces rôles de proposer une orientation, d'établir une stratégie, de prendre des décisions cruciales et de superviser les opérations quotidiennes, et les personnes qui les occupent sont souvent tenues responsables, devant le conseil d'administration, des performances et de la réussite globales de l'entreprise.
De même, les grandes entreprises et les sociétés exigent qu'une personne unique soit chargée de superviser le parcours d'adoption de la sécurité Zero Trust. Ce dirigeant doit posséder une concentration inébranlable et doit disposer des prérogatives nécessaires au déploiement de l'architecture Zero Trust dans l'ensemble de l'organisation. C'est ainsi que le concept de Chief Zero Trust Officer a vu le jour. Et si le terme « Chief Zero Trust Officer » peut sembler n'être qu'un titre, il a une grande signification. Il attire l'attention et possède la capacité de surmonter de nombreux obstacles, afin de relever les défis que comportera la mise en œuvre de l'approche Zero Trust.
Surmonter les obstacles à l'adoption
Un Chief Zero Trust Officer peut aider une entreprise à relever une multitude de défis technologiques pouvant survenir lors du déploiement de la sécurité Zero Trust. La compréhension et la mise en œuvre de l'architecture complexe de certains fournisseurs peuvent demander du temps, exiger une formation approfondie ou nécessiter le recours à des services professionnels, afin d'acquérir l'expertise indispensable. Dans un environnement Zero Trust, l'identification et la vérification des utilisateurs et des appareils peuvent également constituer un défi. La démarche nécessite d'effectuer un inventaire précis de la base d'utilisateurs de l'entreprise, des groupes dont ils font partie, ainsi que des applications et appareils qu'ils utilisent.
Du point de vue organisationnel, la coordination entre les différentes équipes est cruciale pour une mise en œuvre efficace de la sécurité Zero Trust. Abattre les silos au sein des divisions chargées de l'informatique, de la cybersécurité et de la connectivité réseau, établir des canaux de communication clairs et organiser des réunions régulières entre les membres de l'équipe sont autant de démarches pouvant contribuer à une stratégie de sécurité unifiée. La résistance au changement peut également constituer un obstacle considérable. Pour l'atténuer, les dirigeants doivent recourir à différentes tactiques : donner l'exemple, communiquer de manière transparente et impliquer les employés dans le processus de changement. Par ailleurs, le fait de répondre à l'avance aux préoccupations, d'offrir une assistance et de proposer des opportunités de formation au personnel peut également faciliter la transition.
Responsabilité et imputabilité – quel que soit le nom que vous donnez
Une entreprise a-t-elle besoin d'un CZTO ? Le poste peut-il être confié à un collaborateur au sein du bureau du CTO ou du CISO, qui supervise actuellement la sécurité ? Les entreprises doivent attribuer le titre en fonction du niveau d'importance stratégique pour l'entreprise. Alors, qu'il s'agisse de Chief Zero Trust Officer (directeur de la sécurité Zero Trust), Head of Zero Trust (responsable de la sécurité Zero Trust) ou VP of Zero Trust (vice-président de la sécurité Zero Trust) ou de tout autre titre, ce rôle doit attirer l'attention et posséder l'autorité nécessaire abattre les silos et réduire les formalités bureaucratiques.
L'émergence de nouveaux postes de direction n'est pas un événement rare. Les rôles de Chief Digital Transformation Officer (directeur de la transformation numérique), Chief Experience Officer (directeur de l'expérience), Chief Customer Officer (directeur de la clientèle) et Chief Data Scientist (directeur de science des données) ne sont que quelques exemples des nouveaux postes apparus ces dernières années. Le poste de Chief Zero Trust Officer ne s'inscrit probablement même pas dans la durée. Cependant, la personne occupant ce poste devra détenir l'autorité et la vision indispensables pour faire progresser l'initiative Zero Trust, avec le soutien de la direction de l'entreprise et du conseil d'administration.
Atteindre l'objectif de la sécurité Zero Trust
L'adoption de la sécurité Zero Trust est désormais une obligation pour de nombreuses entreprises, car le modèle traditionnel de sécurité périmétrique ne suffit plus à assurer une protection contre les cyberattaques sophistiquées d'aujourd'hui. La supervision d'un CZTO est cruciale pour aider l'entreprise à s'orienter face aux obstacles techniques et organisationnels que comporte la mise en œuvre de la sécurité Zero Trust. Le CZTO dirigera l'initiative Zero Trust, alignera les équipes et surmontera les obstacles afin d'assurer un déploiement fluide. Le rôle du CZTO au sein de la direction souligne l'importance de la sécurité Zero Trust dans l'entreprise. C'est à lui d'assurer que l'initiative Zero Trust bénéficie de l'attention et des ressources nécessaires au succès de sa mise en œuvre. Les organisations qui emploient aujourd'hui un CZTO sont celles qui s'imposeront à l'avenir.
Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions susceptibles d'affecter les décideurs en matière de technologies d'aujourd'hui.
Cet article a été initialement rédigé pour CEO Insights Asia
Auteur
John Engates – @jengates
Technology Officer, Cloudflare
Points clés
Cet article vous permettra de comprendre les points suivants :
Comment surmonter les obstacles à l'adoption de la sécurité Zero Trust
Pourquoi un CZTO dynamisera le succès d'une entreprise