{{item.title}}
{{item.text}}
{{item.title}}
{{item.text}}
18/03/24
Les organisations de tous les secteurs ressentent le besoin urgent de se réinventer, et l’infonuagique est la solution presque universelle, mais les dangers – bien réels – de cette solution n’ont pas fini d’inquiéter les cadres dirigeants.
Selon notre récent sondage, intitulé Global Digital Trust Insights, les attaques contre les services infonuagiques et contre les appareils connectés sont les cybermenaces qui inquiètent le plus les répondants canadiens (52 % et 50 %, respectivement). Pourtant, seulement un tiers (35 %) des spécialistes canadiens en informatique ont indiqué que la sécurité infonuagique faisait partie des trois grandes priorités du budget de la prochaine année pour l’infrastructure technologique de leur organisation.
Pourquoi cette incohérence? C’est que les dirigeants de grandes organisations se fient souvent au fournisseur de services infonuagiques pour assurer la sécurité. Même s’ils savent que ce n’est pas suffisant, beaucoup ignorent dans quoi investir pour mieux se protéger, notamment en raison de l’extrême complexité de leur infrastructure multinuagique hybride.
Quand les groupes fonctionnels d’une organisation décident d’investir dans différents fournisseurs de services infonuagiques, le résultat est souvent lourd et chaotique. Les fournisseurs et les secteurs d’activité tendent à privilégier les mesures de sécurité infonuagiques, qui souvent sont limitées, se chevauchent, voire se font concurrence, ou entrent en conflit avec les mécanismes de sécurité internes, créant ainsi des failles et des points faibles.
Dans ce cas, comment les grandes organisations peuvent-elles simplifier et renforcer leur infrastructure multinuagique de façon à profiter de la puissance des nuages pour élargir leurs activités et atteindre leurs objectifs d’affaires sans compromettre leur sécurité?
Pour tirer parti des nuages en toute sécurité, il faut être à l’affût des risques. Toutefois, pour y parvenir, il est essentiel d’avoir un seul point de vue centralisé sur l’ensemble des risques potentiels. Dans une infrastructure multinuagique complexe, les dirigeants ont rarement accès aux données corrélées et contextuelles nécessaires pour évaluer, classer et gérer rapidement les risques les plus graves.
La première étape pour bon nombre d’utilisateurs est de centraliser leur architecture autour d’une plateforme de protection des applications infonuagiques natives (cloud-native application protection platform ou CNAPP en anglais). L’idée est de resserrer la structure informatique et de mieux voir venir les risques à l’échelle de l’organisation.
Par exemple, nous avons travaillé avec de grandes sociétés de services financiers qui utilisent plusieurs technologies de différents fournisseurs pour régler les mêmes problèmes. Pour les aider à définir leur stratégie de sécurité, nous nous penchons sur leurs objectifs clés, leurs principes directeurs et leur environnement actuel. Afin de créer la technologie ciblée et de démontrer comment elle fonctionne dans un environnement multinuagique, nous tirons parti de notre expérience pour définir les critères à employer et testons le tout dans les laboratoires de notre Centre de résilience numérique. Compte tenu de l’évolution du milieu des CNAPP, nous faisons appel aux différents fournisseurs avec qui nous entretenons des liens pour qu’ils nous guident dans notre démarche.
Cela dit, ce type de technologie ne règle pas tout. Nous ciblons aussi les compétences à développer et les processus à améliorer pour que l’organisation puisse profiter pleinement de son investissement en TI.
Quand nous travaillons avec une organisation pour améliorer sa cybersécurité, nous avons deux objectifs : réduire le délai moyen de détection et réduire le délai moyen de réaction. Pour y arriver, nous recommandons l’intégration des outils dans l’infrastructure, conformément aux pratiques exemplaires observées dans notre travail et dans le secteur. Une fois que tous les intervenants se sont entendus sur une solution uniforme, la prochaine étape consiste à permettre la conception, la mise en œuvre et l’exploitation de la solution.
Les outils de sécurité produisent un grand volume d’alertes. Nous accompagnons l’organisation tout au long du processus, pour l’aider à bien configurer ses systèmes, à filtrer ses alertes, à les trier pour réduire le bruit et à donner suite aux vrais problèmes seulement. Résultat : des solutions parfaitement adaptées, efficaces et intégrées qui relèvent les vrais problèmes à régler immédiatement.
Dans d’autres scénarios, nous centralisons l’exploitation du modèle de sécurité et aidons les entreprises à surveiller les menaces en tout temps. Les services dépendent de la mesure dans laquelle une entreprise souhaite libérer du temps pour son personnel afin de lui permettre de se concentrer sur les activités principales de l’entreprise.
En s’empressant de passer à l’infonuagique, les grandes organisations ont été nombreuses à se retrouver dans un imbroglio. Elles recourent souvent à plusieurs nuages pour accomplir les mêmes tâches, ce qui a pour résultat de fragmenter et de cloisonner les éléments de la structure de sécurité.
Enfin, la croissance des plateformes d’infonuagique, combinée aux déficiences sur les plans de la gestion des risques liés aux tiers et aux chaînes d’approvisionnement, de l’architecture organisationnelle ainsi que des services fonctionnels et de sécurité de base, mène presque toujours à des regroupements désordonnés de services.
Il est nécessaire de mettre en place une stratégie de sécurité pour l’ensemble de l’organisation. Devant les risques de cybersécurité changeants, les organisations doivent se doter de la stratégie nécessaire pour voir venir les risques, et ainsi pouvoir exploiter la puissance des nuages en toute assurance et sécurité.
Prêt à optimiser votre stratégie et vos activités de cybersécurité infonuagique? Contactez-nous aujourd’hui pour en discuter.
Associée, Cybersécurité, protection des renseignements personnels et lutte contre la criminalité financière, PwC Canada
Tél. : +1 416 687 9139
Associé, Cybersécurité, protection des renseignements personnels et lutte contre la criminalité financière et leader national, Cybersécurité, PwC Canada
Tél. : +1 604 806 7603
Associé, leader national du groupe Cybersécurité, Services gérés, PwC Canada
Tél. : +1 416 815 5274