Si la gestion de la sécurité des systèmes d’information demeure fondamentalement technique, l’associer à une vision stratégique de l’organisation et à une approche métier crédibilise éminemment la démarche.
Proches l’une de l’autre dans l’organisation et en lien direct avec la DSI, la sécurité des systèmes d’information et l’architecture d’entreprise évoluent pourtant, bien souvent, dans des silos parallèles. Or en synergie, elles peuvent se compléter et faire avancer mieux et plus vite l’organisation, dans sa transformation numérique.
Sécurité des SI : la vision tronquée d’une approche technologique
Avec l’essor des nouvelles technologies (cloud, AI/ML, IoT, blockchain, etc.), la sécurité du SI est devenue un enjeu majeur pour toutes les entreprises. Selon le cabinet Forrester, 63 % des organisations prévoient cette année une augmentation de leurs budgets alloués à la sécurité des systèmes d’information. Laquelle constitue même un des objectifs stratégiques prioritaires pour 27 % des personnes interrogées.
En effet, face aux menaces volontaires ou involontaires (malveillances, accidents, pertes de données) et au poids grandissant du numérique dans la croissance et la réussite des organisations, les équipes sécurité assurent des activités qui ne sont plus seulement nécessaires, mais quasiment vitales : prise en compte des aspects sécuritaires dès l’amont (« security by design »), politique de sécurité détaillée (gestion et contrôle des identités et des accès), gestion des risques (identification des menaces, définition des contrôles et des éléments de résilience), et supervision (surveillance et gestion des incidents).
Un déploiement de forces justifié, mais qui peut parfois se heurter à une vision trop parcellaire, issue d’une approche uniquement orientée vers la technologie, sans prise en compte des conséquences business.
Or, la criticité d’une application ou d’un processus reste un élément fondamental pour identifier et corriger les risques numériques dans l’organisation.
Hiérarchiser les menaces et prioriser les actions correctives de sécurité des SI
Si la gestion de la sécurité des systèmes d’information demeure fondamentalement technique, l’associer à une vision stratégique de l’organisation et à une approche métier crédibilise éminemment la démarche.
En effet, en matière d’identification et de correction des vulnérabilités par exemple, une menace « importante » au sens technique peut n’avoir que peu de conséquences pour l’entreprise si elle porte sur une application ou un processus accessoire.
À l’inverse, toute menace – même techniquement mineure – doit être prise en considération très rapidement, au risque de déstabiliser toute l’organisation si elle touche une application ou un processus « cœur de métier ». Ainsi dans le contexte d’une banque, un risque faible sur une application de trading sera à prendre plus au sérieux qu’une menace forte sur un outil du marketing.
En d’autres termes, il s’agit de hiérarchiser les menaces et prioriser les actions à entreprendre, en fonction de la gravité des conséquences qu’elles peuvent avoir sur le business et plus globalement sur les finances de l’organisation.
À ce titre, l’architecte d’entreprise et sa vision transverse sur les processus métiers et les éléments du système d’information, constitue un allié de poids pour les équipes en charge de la sécurité du SI.
La sécurité des SI, au service de la transformation digitale
Il est communément admis dans les organisations que la connaissance pointue des vulnérabilités du système d’information doit être partagée entre un nombre limité de personnes, notamment pour limiter les menaces (volontaires ou non) provenant de l’interne.
Résultat : le responsable de la sécurité des systèmes d’information (RSSI) et son équipe ne partagent que très peu d’informations avec le reste de l’entreprise.
Sans entrer dans le détail, la mise à disposition d’’indicateurs issus de leurs activités (niveau de risque des technologies) à l’attention de l’architecte d’entreprise peut pourtant aider ce dernier dans ses décisions, et accélérer la transformation digitale de toute l’organisation.
En effet, entre deux projets de migration dans le cloud par exemple, connaître l’état de « santé sécuritaire » des applications considérées va pouvoir aider à définir les priorités : en migrant d’abord la moins sécurisée des deux, on peut éviter les impacts financiers, d’image, etc. à la suite d’une cyber-attaque.
Car malgré l’importance de la transformation digitale des organisations et l’urgence du maintien de la sécurité des systèmes d’information associée, les budgets des organisations en la matière ne sont pas extensibles. Mais en travaillant main dans la main, architectes d’entreprise et équipes RSSI peuvent consolider leurs actions et optimiser les budgets alloués au digital, pour garantir à l’organisation une accélération numérique fiable, sécurisée et pérenne.
