- Shakerz
- Posts
- Insight 〰️ Technologies "Nextgen" = sécurité ?
Insight 〰️ Technologies "Nextgen" = sécurité ?
Les technologies du digital, dites "nextgen" ou "modernes" sont-elles plus sécurisées ?
Tribune par Sylvan Ravinet
Spoiler : pourquoi cette idée reçue est fausse.
En janvier 2019, Accenture a montré que 79% des projets de transformation digitale n’incluaient pas la cybersécurité au bon niveau. Depuis, la situation Covid et ses transformations accélérées ont largement aggravé le phénomène. Trop de projets de transformation digitale augmentent l’exposition aux risques cyber.
Pourquoi ? À moins d’être adoptées correctement, les “briques” actuelles du digital, qu’elles permettent un time to market accéléré, ou encore offrent une certaine fluidité face aux variations de trafic, ne garantissent, fondamentalement aucune cybersécurité. On citera le “cloud”, la conteneurisation (Docker et Kubernetes), l’usage élargi de librairies open-source telles que les packages npm, ou encore les API REST (même en GraphQL), et les microservices, sans oublier les librairies d’IA et de NLP.
Leur bon usage reste complexe. Cela nécessite une architecture aussi bien pensée qu’exécutée efficacement. Leur maintenance est tout aussi frustrante, ne serait-ce que pour maintenir à jour les dépendances.
Pour autant, les technologies plus légères telles que le « no code » ou les architectures dites “headless” ne sont pas toujours une solution.
L’innovation et les CISO : une relation complexe
Longtemps, les CISO (Chief Information Security Officers - ou Directeurs sécurité de l’information) ont été réfractaires au cloud. Car l’innovation n’est pas la priorité des CISO, sinon la priorité qui leur est fixée. C’est pourtant un vrai problème. Non seulement certains CISO sont des freins pour les projets d’innovation, mais aussi leur faible culture d’innovation (comme la pratique du fail fast and learn) limite l’efficacité de leur stratégie cybersécurité.
L’une des caractéristiques des entreprises leaders en cybersécurité, selon Accenture, c’est pourtant “la capacité à évaluer, piloter, essayer de nouvelles capacités (en lab ou en pilote)” de cybersécurité. Ces entreprises identifiées comme leader en cybersécurité consacrent 29% de leur budget cybersécurité à ces activités d’innovation, ce qui est très significatif.
Identifier, tester, déployer à l’échelle l’innovation, cela doit donc devenir une activité standard pour les fonctions cybersécurité. Somme toute, le contraire d’une approche “conformité” usuelle. Ce qui implique d’ailleurs de décommissionner tout aussi fréquemment des technologies et outils anciens, en dédiant un budget à cette activité peu “clinquante” mais tout aussi vitale.
Mais attention, identifier et déployer de l’innovation ne veut pas pour autant signifier qu’il faut, en interne de la fonction cyber en entreprise, innover technologiquement et financer les risques de cette innovation.
La blockchain, “ultime” technologie, est-elle sécurisée ?
C’est une idée reçue courante. De nombreuses plateformes de finance décentralisée (DeFi) se sont pourtant faites attaquer. Entre janvier et mars 2022, les cybercriminels ont volé 1,3 milliard de dollars en crypto-monnaies, dont près de 97 % sur les plateformes DeFi, selon la société américaine d'analyse blockchain Chainalysis. Alors que c’est leur cœur de métier de manipuler, au quotidien, des transactions qui totalisent un volume de plusieurs millions ou dizaines de millions d’euros.
Ce qu’il faut retenir
Moralité : sans la juste prise en compte de la cybersécurité, dans de très nombreux projets de transformation digitale, tous les jours, les entreprises créent elles-mêmes (bien involontairement) les conditions des cyberattaques de demain.
Une fois cette prise de conscience effectuée, la formation initiale et continue, autant des CISO que des Chief Digital Officers (CDO), et de bonnes interventions pourront, à terme, combler ces écarts.
Heureusement, il est aujourd’hui possible de mettre en place des stratégies et outils qui participent à y remédier.
Sylvan Ravinet, senior advisor en cybersécurité.
Reply