Neil Thacker, CISO EMEA de Netskope, traite des difficultés d’unifier les approches entre les différentes parties prenantes de l’informatique d’entreprise.
Si vous êtes un professionnel des réseaux ou de la sécurité, un DSI, un RSSI ou un autre responsable informatique, il y a de fortes chances que vous planifiez ou avez déjà entamé des projets de transformations des réseaux et de la sécurité. Une nouvelle étude montre que 99,5 % des organisations européennes de plus de 5 000 employés sont en train de le faire. Plus de la moitié d’entre elles sont déjà engagées dans un processus de transformation, soit en ce moment même, soit dans le courant de l’année prochaine, et 79 % ont déjà réalisé des économies grâce à ce processus. Mais je ne peux pas vous dire avec autant de certitude comment vous allez procéder à cette transformation, car la même étude montre que les responsables informatiques sont divisés sur la meilleure approche à adopter.
Unification des disciplines
L’une des grandes questions auxquelles l’étude a tenté de répondre est la suivante : “Qui est responsable de la transformation des réseaux et de la sécurité ? Les données montrent que près d’un tiers des DSI européens simplifient entièrement le défi de la répartition des projets en faisant converger leurs équipes. Il s’agit d’un changement organisationnel important pour la plupart d’entre eux, mais qui semble très judicieux. Les DSI qui prévoient cette évolution expliquent qu’elle est nécessaire parce que “notre utilisation du cloud rend la séparation des équipes inutile”.
Ces équipes convergentes éviteront les problèmes anticipés par 28% des responsables informatiques qui s’attendent à ce que les équipes réseau et sécurité se disputent la propriété des projets. Nous savons déjà, grâce à une recherche menée plus tôt en 2021, que 54 % des DSI européens pensent que le manque de collaboration entre les équipes spécialisées empêche leur organisation de tirer parti des avantages de la transformation digitale. Ce même rapport a révélé qu’en Europe 44 % des responsables réseau et sécurité décrivaient la relation entre les deux équipes en termes fortement négatifs tels que ” conflictuel “, ” dysfonctionnel “, ” glacial ” ou ” non approprié “. Ces fusions d’équipes réseau et sécurité sont un moyen proactif d’éviter l’inefficacité et les conflits.
28 % des organisations ayant déjà transféré au moins une partie de leur sécurité dans le cloud ont déclaré avoir apporté des changements à la taille et la composition de l’équipe chargée du réseau, et 26 % ont fait état des mêmes changements dans leur équipe chargée de la sécurité.
Principales technologies et répartition des responsabilités
Secure Access Service Edge (SASE), Secure Service Edge (SSE) et Zero Trust Network Access (ZTNA) sont trois des grands acronymes en jeu dans la transformation des réseaux et de la sécurité. Le SASE est un cadre qui repense la sécurité et les réseaux pour répondre aux exigences et aux risques des organisations “cloud native”. Dans une architecture SASE, le SSE consolide les technologies de sécurité. Le ZTNA est un modèle d’accès, qui nécessite une visibilité granulaire et contextuelle des utilisateurs, des applications et des données pour déterminer les autorisations.
Pour les équipes réseau et sécurité restant séparées, les responsables informatiques recherchent la collaboration pour mener à bien les grands projets de transformation. Les responsabilités pour le SASE, le SSE et le ZTNA ne sont pas uniformes, certains DSI et CISO estimant qu’il s’agit de responsabilités de l’équipe réseau et d’autres les confiant à l’équipe de sécurité.
Plus précisément, 28 % des DSI ont décrété que le SASE était la mission des équipes réseau, alors que seulement 18 % l’ont confié à la sécurité et 31 % ont déclaré que la mission du SASE était partagée. Étonnamment, le SSE (souvent désigné comme les éléments du SASE exploités par l’équipe de sécurité) n’a été confié qu’à 18 % à la sécurité, 30 % à l’équipe réseau et 33 % à responsabilité partagé entre les deux équipes. L’accès réseau Zero Trust (ZTNA) a également été attribué à l’équipe réseau (37% au réseau, 21% à la sécurité, 23% au partage) et la vieille bataille de la passerelle web n’est pas encore résolue ; 23% des DSI pensent que le SWG est l’affaire de l’équipe de sécurité, 28% l’attribuent à l’équipe réseau et seulement 27% disent que la responsabilité doit être partagée.
Une direction bicéphale
L’étude a également porté sur les rapports hiérarchiques afin de déterminer comment les DSI et les RSSI travaillent avec les équipes. 67 % des équipes informatiques européennes rendent compte à la fois au DSI et au RSSI, soit directement, soit par le biais d’une hiérarchie en pointillés. Cependant, 27 % des organisations interrogées n’ont pas du tout de CISO au sein de leur organisation (cette proportion est la plus élevée en Allemagne (31 %) et la plus faible au Royaume-Uni (22 %).
Talents et recrutement
Les talents et le recrutement pour la cybersécurité font l’objet d’un débat constant dans les médias, et l’étude a cherché à connaître le point de vue des DSI à ce sujet également. 28% des organisations développent ou prévoient de développer leur équipe de sécurité afin de répondre à élargissement de son rôle en raison de l’utilisation du cloud par l’organisation. 46% ont déclaré qu’elles avaient déjà du mal à trouver des candidats adéquats ou qu’elles prévoyaient des difficultés à l’avenir.
Lorsqu’on leur a demandé où ils prévoyaient de trouver du personnel pour l’équipe de sécurité à l’avenir, la réponse la plus courante (44%) était que les DSI chercheront des candidats ayant des compétences et de l’expérience dans le domaine du cloud / SaaS / IaaS, cependant la deuxième réponse la plus courante indiquait une stratégie de recrutement complètement différente et montrait une créativité rassurante face au défi. 38 % des responsables informatiques ont l’intention de chercher des candidats en dehors des marchés des cyber compétences ou de l’informatique et de les former / requalifier. 31% des organisations ont l’intention de transmettre le défi du recrutement aux fournisseurs, en déclarant qu’elles externaliseraient leur équipe de sécurité, et 30% ont l’intention de déplacer le personnel des réseaux, du service d’assistance et d’autres équipes internes, en renouvelant les compétences si nécessaire.
Nous traversons une période de grands bouleversements en matière de sécurité et de réseaux… Les responsables informatiques européens abordent ce défi avec créativité et montrent qu’ils n’ont pas peur d’opérer de grands changements. Les fournisseurs peuvent apporter leur aide dans quelques domaines spécifiques – en partageant des exemples de bonne pratique et des études de cas de leurs clients, puis en apportant leur soutien avec des évaluations détaillées du coût total de possession (TCO) qui tiennent compte de l’impact et des résultats positifs des technologies sur l’ensemble du réseau et de la sécurité.