L’achat excessif et la sous-utilisation des outils et des technologies de sécurité sont non seulement coûteux et source de gaspillage, mais ils ajoutent une complexité inutile, surchargent un personnel déjà très occupé et entravent des opérations de sécurité plus productives.
Si la sous et/ou la non-utilisation de logiciels et de services de sécurité (désignées par le terme « shelfware ») relèvent parfois d’un choix délibéré et stratégique, ces pratiques sont le plus souvent source d’inquiétude. Différentes situations font qu’une entreprise se retrouve avec des outils de sécurité dans son arsenal de défense : un DSI a insisté pour acheter une technologie particulière après avoir vu une publicité ; des cadres achètent une option spécifique pour répondre aux prérequis d’un partenaire en vue de la signature d’un contrat ; des équipes renouvèlent toutes les licences de produits existants lors d’une fusion/acquisition au lieu de se débarrasser des logiciels superflus, etc….
Selon l’étude réalisée par CSO intitulée « 2020 Security Priorities » (Priorités en matière de sécurité en 2020), 50 % des responsables de la sécurité déclarent ne pas avoir recours à toutes les fonctions incluses dans leurs technologies ou services de sécurité. Par ailleurs, 26 % déclarent qu’ils manquent de ressources en personnel, de services d’assistance ou de capacités de déploiement pour mettre en œuvre les technologies et/ou services de sécurité qu’ils ont acquis. En outre, les personnes interrogées indiquent qu’elles n’utilisent que 72 % des produits ou services de sécurité achetés ou sous contrat.
L’achat excessif des outils et des technologies de sécurité qui finalement ne servent pas, équivaut à du gaspillage ; et la conséquence, c’est qu’il y a des coûts d’opportunité perdus.
Un meilleur usage des outils de sécurité informatique
Ces chiffres ne surprennent pas Neil Daswani, vétéran de la cybersécurité et coauteur de Big Breaches : Cybersecurity Lessons for Everyone (Les violations majeures : quelles leçons en tirer pour la cybersécurité). Lui aussi déclare avoir vu des équipes de sécurité acheter des solutions qu’elles n’ont pas déployées pleinement par la suite. « Il y a des raisons légitimes à la sous-utilisation perçue, mais il y a aussi des préoccupations légitimes ». Dans certains cas, les équipes de sécurité peuvent choisir des solutions de manière réfléchie en sachant qu’elles n’utiliseront que certaines capacités spécifiques de ces outils et qu’elles n’activeront uniquement les fonctions qui correspondent aux besoins stratégiques de leur entreprise. D’autres font remarquer que les équipes de sécurité achètent de la redondance à dessein pour s’assurer qu’elles disposent des capacités nécessaires en cas de besoin.
Cependant, les experts en sécurité affirment que les situations où la sous-utilisation des outils de sécurité n’est pas stratégique mais réactionnelle sont plus nombreuses. Il peut arriver qu’une équipe de sécurité hérite d’une série d’outils redondants après une fusion/acquisition. Elle peut aussi avoir accumulé les mêmes capacités à partir de plusieurs solutions, les employés et les cadres déployant leurs options préférées.
Auditer, évaluer et ajuster les besoins pour une sécurité optimale
Dans le même temps, les RSSI (Responsable Sécurité des Systèmes d’Information) ont moins le droit à l’erreur, tant en ce qui concerne leurs stratégies de sécurité que les opérations de leur équipe. Le nombre et la complexité des menaces ne cessent de croître, le coût de l’échec augmente et le budget pour financer les programmes restera serré. Par conséquent, les RSSI sont soumis à une pression croissante pour maximiser la valeur de leurs investissements. Ils doivent s’assurer qu’ils utilisent pleinement leurs solutions et services avant d’en demander davantage. C’est la première étape pour entamer un dialogue productif sur les prochaines menaces.
Pour cela, il est important de commencer par bien comprendre les solutions de sécurité dont ils disposent afin de pouvoir évaluer si elles s’alignent sur la stratégie de sécurité de l’entreprise et si elles permettent de traiter les risques auxquels elle est confrontée.
« Toute entreprise devrait réaliser, au moins tous les 12 à 24 mois, un audit de son environnement, de son programme et de ses technologies de cybersécurité. Toute entreprise devrait d’abord se doter d’un solide programme de gestion des risques, définissant les risques et les mesures d’atténuation appropriées. Elle devrait également procéder à un examen stratégique de ce qu’elle possède, de ce qu’elle devrait avoir et ce dont elle pourrait se délester. Elle peut procéder à une rationalisation des outils afin de déterminer réellement si elle dispose des bons outils pour ses besoins de cybersécurité, en se débarrassant des redondances et de la complexité, et en comblant les lacunes. » – Donald Heckman, Directeur de la cybersécurité chez Guidehouse. Ce travail permet aux RSSI de centrer les programmes de formation et/ou de sensibilisation du personnel sur les technologies restantes. Également grâce à ces audits de sécurité informatique, les RSSI connaissent la situation à un instant T et peuvent plus aisément prendre des décisions pour de nouveaux investissements ou non.
Effectuer de façon stratégique le choix des prochains investissements
Tous les achats à venir devraient faire l’objet du même examen minutieux de la part des RSSI afin de s’assurer que la fonction de sécurité n’est pas à nouveau sous-utilisée. Pour ce faire, ces derniers devraient aligner chaque nouvel achat sur leurs objectifs stratégiques bien définis. Les RSSI doivent de plus s’assurer que leurs nouveaux achats n’ont pas un but unique, mais qu’ils peuvent être intégrés dans leur environnement via des API et, en fin de compte, travailler de manière cohérente avec les autres technologies de sécurité pour fournir les informations nécessaires à la détection des menaces qui représentent les plus grands risques pour l’entreprise.
Se faire accompagner par des experts en sécurité informatique
Peu d’entreprises effectuent réellement le nécessaire, en matière de prise de recul et de prise d’information avant d’effectuer des investissements en informatique, et plus précisément en matière de sécurité informatique. Encore moins quand il s’agit des TPE/PME ; qui n’ont pas toujours un service informatique en interne. Il est important de se doter de moyens de sécurité informatique pour protéger son entreprise et ses collaborateurs ; de moyens adéquats et correspondants réellement aux besoins d’entreprise.
C’est là que nous intervenons, nous vous accompagnons de la réflexion à la mise en place de solutions de sécurité adaptées à vos besoins, et qui peuvent être amenées à évoluer selon que l’entreprise en question se développe. Weodeo, en tant que prestataire infogérance informatique, et par ses partenariats technologiques, met à votre disposition son expertise et celle de ses consultants expérimentés. Outre la sécurité informatique, nous vous accompagnons sur d’autres thématiques telles que : la sauvegarde externalisée, la mise en place et l’administration d’infrastructure réseaux… Nous vous accompagnons tout au long de votre transformation digitale.
Vous souhaitez en savoir plus? N'hésitez plus, contactez nous.
