Idée reçue n°1 : En utilisant des technologies modernes/nextgen, on est plus en sécurité

Pourquoi cette idée reçue est-elle fausse ?

En janvier 2019, Accenture a montré que 79% des projets de transformation digitale n’incluaient pas la cybersécurité au bon niveau. Depuis, la situation Covid et ses transformations accélérées, ont largement aggravé le phénomène.

À moins d’être adoptées correctement, les architectures cloud, la conteneurisation (docker et kubernetes), l’usage élargi de librairies open-source telles que les packages npm, ou encore les API (même en GraphQL), et les microservices, sans oublier les librairies d’IA et de NLP, s’ils permettent un time to market accéléré, ou encore offrent une certaine fluidité des déploiements face aux variations de trafic, ne garantissent aucune cybersécurité. Leur bon usage reste complexe. Et nécessitent une architecture aussi bien pensée qu’exécutée efficacement. Leur maintenance est tout aussi frustrante. À l’inverse, les technologies plus légères telles que le no code ou les architectures headless ne sont pas toujours une solution.

Nous employons ces technologies pour notre innovation Captain Cyber. Nous sommes bien placés pour en parler… D’ailleurs, seuls quelques experts cybersécurité sont pleinement au fait de ces technologies de plus en plus courantes dans le digital. Mais, malgré le déploiement des approches et outils devsecops (qui intègrent la sécurité au cœur du développement et des opérations), les équipes de développement et les équipes cyber ne travaillent peu souvent ensemble. Leurs parcours sont de plus en plus distincts, les passerelles sont rares en cours de carrière.

L’innovation et les CISO : une relation complexe

Longtemps, les CISO (Chief Information Security Officers - ou Directeurs sécurité de l’information) ont été réfractaires au cloud. C’est probablement l’une des raisons pour laquelle 86% des membres (CISO) du CESIN, interrogés dans l’enquête publiée en janvier 2021, considèrent toujours que les outils fournis par les fournisseurs cloud ne permettent pas de sécuriser les données. Malgré la montée en puissance, conséquente, de ces fournisseurs cloud sur le sujet cyber, les architectures et les services qu’ils proposent, largement industrialisés. Si nous mettons de côté le sujet souveraineté dans la prise de décision. Malgré les enjeux, la discussion ne semble pas systématiquement s’engager entre cloud et cybersécurité : dans la dernière étude Accenture, 32% des entreprises indiquent que la cybersécurité ne fait pas partie des discussions sur le cloud… et 18% indiquent que l’implication est limitée. Dans 50% des grandes entreprises, la collaboration entre équipes cloud et cybersécurité n’est donc pas acquise. Il faut dire que de manière générale, les CISO sont peu ouverts à l’innovation. C’est ce que montre toujours la même enquête du CESIN, avec toutefois une amélioration par rapport à l’année précédente. Seules 55% des entreprises du CESIN ont recours à “des offres innovantes issues de startups” (dont 51% occasionnellement). Ce recours à l’innovation est loin d’être systématique. Alors que cela devrait être systématisé.

Car l’innovation n’est pas la priorité des CISO, sinon la priorité qui leur est fixée. C’est pourtant un vrai problème. Non seulement certains CISO sont des freins pour les projets d’innovation, mais aussi leur faible culture d’innovation (comme la pratique du fail fast and learn) limite l’efficacité de leur stratégie cybersécurité. L’une des caractéristiques des entreprises leaders en cybersécurité, selon Accenture, c’est pourtant “la capacité à évaluer, piloter, essayer de nouvelles capacités (en lab ou en pilote)” de cybersécurité. Ces entreprises identifiées comme leader en cybersécurité consacrent 29% de leur budget cybersécurité à ces activités d’innovation, ce qui est très significatif. Identifier, tester, déployer à l’échelle l’innovation, cela doit donc devenir une activité standard pour les fonctions cybersécurité. Somme toute, le contraire d’une approche “conformité” usuelle. Ce qui implique d’ailleurs de décommissionner tout aussi fréquemment des technologies et outils anciens, en dédiant un budget à cette activité peu “clinquante” mais tout aussi vitale.

La blockchain est serait l’ultime technologie, sécurisée ?

De nombreuses plateformes de finance décentralisée (DeFi) se sont pourtant faites attaquer. Totalisant plus d’1,5 milliard USD de pertes au 30 novembre 2021. Avec, depuis, déjà 3 sociétés attaquées. Moins d’une semaine ! Alors que c’est leur cœur de métier de manipuler, au quotidien, des transactions qui totalisent un volume de plusieurs millions ou dizaines de millions d’euros. Mêmes les plateformes qui indiquent avoir bénéficié de 3 audits de sociétés expertes en cybersécurité blockchain, sont concernées.

Ce qu’il faut retenir

Moralité : sans prise en compte de la cybersécurité, dans de très nombreux projets de transformation digitale, tous les jours, les entreprises créent elles-mêmes (bien involontairement) les conditions des cyberattaques de demain (je ne parle pas d’après-demain, mais bien de demain ou de… ce dimanche !).

Une fois cette prise de conscience effectuée, la formation, initiale et continue autant des CISO que des Chief Digital Officers (CDO), pourra, à terme, combler ces écarts. Heureusement, il est possible de mettre en place des stratégies et outils qui participent à y remédier sans attendre.