Comment convaincre les cadres dirigeants d'investir dans une nouvelle et complexe stratégie de sécurité ?
Cette question n'a pas de réponse simple. Malgré l'entrée de la sécurité dans les priorités de l'équipe directrice de la plupart des entreprises, les dirigeants hésitent souvent à soutenir les projets de sécurité nécessitant une quantité considérable de ressources et une transformation organisationnelle.
Voilà la situation peu enviable dans laquelle de nombreux responsables de la sécurité se retrouvent lorsqu'ils planifient l'adoption du modèle SASE.
Qu'ils utilisent ou non le terme SASE, Secure Access Service Edge ou service d'accès sécurisé en périphérie, bon nombre de ces responsables plaident déjà en faveur de l'adoption des pratiques SASE au sein de leur entreprise. Toutefois, à l'instar de l'adoption de la sécurité Zero Trust, de la sécurisation de la navigation Internet des employés, ainsi que de la migration des pare-feu et de la connectivité WAN vers le cloud, ces pratiques nécessitent un certain degré de collaboration et de soutien financier à l'échelle de l'entreprise. De nouveaux prestataires doivent être trouvés et évalués, et les fournisseurs existants recyclés ailleurs ou tout bonnement remplacés. À l'échelle de l'entreprise dans son ensemble, les collaborateurs peuvent également devoir apprendre de nouveaux processus de sécurité.
Ces conditions peuvent engendrer un certain scepticisme de la part des dirigeants chargés de tâches autres que la sécurité. Certains peuvent considérer que les mesures de sécurité existantes fournissent déjà une protection suffisante et hésiter à soutenir des changements gourmands en ressources. D'autres pourraient sous-estimer l'urgence liée au SASE et repousser l'étude du projet à un moment ultérieur.
Les directeurs de la sécurité efficaces savent qu'ils devront surmonter certaines résistances pour conduire à l'adoption du SASE et mieux protéger leur entreprise. Lors de leurs discussions avec d'autres dirigeants à propos du SASE, les pratiques suivantes permettront aux responsables de la sécurité d'atteindre leur objectif :
Expliquer les avantages commerciaux supplémentaires liés à l'adoption du SASE, en plus de décrire de quelle manière cette approche permet de réduire les risques.
Démontrer le retour sur investissement (RSI) du SASE en présentant des données sur les avantages financiers liés à la sécurité Zero Trust et à la transformation du réseau.
Proposer des mesures concrètes à entreprendre ensuite, notamment un plan d'action des changements que vous souhaitez effectuer en premier et la manière dont vous comptez les mettre en œuvre.
Vous trouverez ci-dessous des informations décrivant concrètement ces pratiques.
Toute discussion sur le SASE doit, bien entendu, mentionner les menaces que cette approche peut contribuer à prévenir. Les responsables de la sécurité doivent aider les autres dirigeants à comprendre les risques qui émanent de la circulation du trafic lié au réseau d'entreprise sur l'Internet public et expliquer comment le SASE peut permettre de protéger l'entreprise contre ces risques.
Toutefois, la conversation ne doit pas s'arrêter à ces notions. Pour quelle raison ? Parce que même si les dirigeants croient aux problèmes que le SASE peut résoudre, ils peuvent tout à fait ne pas considérer que l'approche SASE en elle-même constitue la réponse. Face aux nombreuses difficultés logistiques liées à l'adoption du SASE, les dirigeants peuvent préférer des solutions plus simples et immédiates, mais potentiellement moins efficaces, comme l'extension de l'usage des VPN et l'adoption de solutions de sécurité ponctuelles dans le cloud.
Afin de donner plus de poids à leurs arguments, les responsables de la sécurité doivent également expliquer de quelle manière l'adoption du SASE peut soutenir les objectifs plus larges de l'entreprise. Vous trouverez ci-dessous quelques arguments à envisager :
Efficacité des collaborateurs en télétravail : de nombreux dirigeants sont curieux quant à la manière dont le télétravail affecte l'efficacité générale de l'entreprise. Les responsables de la sécurité doivent les aider à comprendre à quel point les outils de télétravail traditionnels perdent de leur fiabilité après une utilisation continue à grande échelle, ainsi que les moyens par lesquels le SASE peut apporter son aide sur ce point. Ils peuvent, par exemple, décrire de quelle manière l'abandon des VPN permet de réduire la latence et les pertes de connectivité, ou comment l'unification des services de sécurité réseau au sein d'une seule plateforme cloud élimine les retards dus au phénomène de hairpinning (également appelé « effet trombone ») du trafic circulant entre les différentes solutions de sécurité ponctuelles.
Intégration plus souple des sous-traitants : les entreprises engagent souvent des sous-traitants et des fournisseurs de services pour s'occuper de projets urgents et prioritaires. Pourtant, comme les responsables de la sécurité le savent, l'intégration de ces sous-traitants peut se révéler fastidieuse du point de vue de l'informatique. (C'est également vrai pour les entreprises récemment acquises.) Aidez les dirigeants à comprendre comment le SASE peut faciliter l'intégration rapide de ressources tierces particulièrement bienvenues en permettant aux sous-traitants d'utiliser leurs propres appareils, ainsi qu'en confiant à l'équipe informatique et à l'équipe de sécurité une plateforme unique depuis laquelle gérer et surveiller les accès au réseau.
Efficacité de l'équipe informatique : 62 % des équipes informatiques affirment qu'elles manquent de personnel, une situation qui peut empêcher l'entreprise de s'occuper de toutes sortes de projets stratégiques. Les responsables de la sécurité peuvent aider les dirigeants à comprendre de quelle manière le SASE libérera de la capacité informatique dès sa mise en œuvre. Avec la mise en œuvre du SASE, par exemple, les équipes informatiques n'auront plus à : provisionner des licences de VPN, déployer des correctifs sur les équipements physiques de sécurité réseau et les dépanner, ni répondre aux tickets de support liés à une mauvaise expérience de navigation sur un site web résultant de l'utilisation d'outils de sécurité à distance.
Lorsqu'ils ont ce type de conversations, les responsables de la sécurité doivent s'efforcer de faire preuve de simplicité et s'astreindre à une règle visant à ne stipuler « aucun nom de fournisseur et aucun acronyme ». Il est facile d'oublier à quel point le jargon peut s'immiscer dans les discussions liées à la stratégie de sécurité. Chaque mot à la mode inutile et chaque nom de fournisseur agit comme un ralentisseur et détourne l'attention du public de la véritable substance de l'argument. (Le terme « SASE » peut constituer l'exception à cette règle, mais veillez néanmoins à continuer à définir cet acronyme et à l'utiliser avec parcimonie.)
Les conversations avec les dirigeants à propos du SASE conduiront inévitablement à la question des coûts financiers de l'adoption d'une telle solution. Ces coûts peuvent paraître élevés au premier abord, car le SASE nécessite l'établissement de nouveaux partenariats avec les fournisseurs et peut exiger de nouveaux ensembles de compétences informatiques.
Pour contrebalancer l'anxiété des dirigeants vis-à-vis de ces coûts, les responsables de la sécurité doivent être prêts à démontrer que le SASE peut également permettre à l'entreprise de réaliser des économies.
Certaines de ces économies peuvent résulter de la prévention et de l'atténuation des attaques. Les pratiques SASE peuvent ainsi rendre les attaques moins coûteuses pour leur cible. D'après le rapport d'IBM Cost of a Data Breach (Coût d'une violation de données), les entreprises matures en termes de niveau d'adoption du modèle Zero Trust dépensent moins pour récupérer de telles violations. En cas de violation de sécurité, les entreprises matures déboursent ainsi (en moyenne) 3,28 millions de dollars contre 5,04 millions pour les entreprises sans stratégie Zero Trust.
Les responsables de la sécurité peuvent également promouvoir les avantages commerciaux plus généraux décrits dans la section précédente en calculant les économies spécifiques liées à la simplification des processus informatiques complexes. Vous trouverez ci-dessous quelques exemples d'arguments permettant de justifier le RSI :
Réduction des tickets de support informatique. Le SASE élimine la nécessité de faire appel à des outils d'accès distant à caractère unique, comme les VPN, qui ont tendance à se montrer peu fiables et à engendrer une latence importante. Lorsque les utilisateurs n'ont pas besoin de gérer un client VPN sur leur appareil, les entreprises constatent une diminution significative du temps passé à répondre aux tickets informatiques liés aux problèmes d'accès. Certaines signalent ainsi une réduction pouvant atteindre 80 %.
Diminution du temps d'intégration d'un nouveau collaborateur. Le remplacement des approches traditionnelles en matière d'accès à distance, comme le VPN et les mesures de contrôle basées sur IP, constitue un bon exemple de ce cas de figure. Les entreprises du type d'eTeacher Group signalent qu'elles passent moins de temps à intégrer les nouveaux utilisateurs, avec une réduction de l'ordre de 60 % du temps nécessaire à la configuration d'un accès pour un nouvel utilisateur.
Élimination des coûts supplémentaires liés aux équipements physiques. Les équipements de sécurité physiques, comme les pare-feu réseau et les boîtiers d'atténuation des attaques DDoS, entraînent toujours des coûts supérieurs au simple prix d'achat. Installation, garanties, réparations, déploiement des correctifs, toutes ces opérations imposent des dépenses supplémentaires et leur gestion nécessite des ressources informatiques. L'élimination de ces coûts du fait de la migration de la sécurité réseau vers le cloud peut engendrer des sources d'économies supplémentaires.
Enfin, le SASE peut créer des conditions financières favorables à long terme en réduisant les lourdes dépenses d'investissement liées aux équipements réseau physiques. Comme les services SASE sont intégralement proposés depuis le cloud, ils s'appuient sur un modèle d'abonnement au cloud standard. Ce modèle permet ainsi de libérer des liquidités susceptibles de servir à financer d'autres investissements prioritaires.
Aider les dirigeants à comprendre les avantages commerciaux et les impacts financiers du SASE constituera un grand pas sur la voie qui les conduira à accepter l'adoption de cette approche. Toutefois, ils souhaiteront également comprendre à quoi ressemblera l'adoption du SASE en pratique.
Les responsables de la sécurité doivent se préparer à répondre à cette question en détail. Il conviendra donc d'établir un plan d'adoption SASE hypothétique couvrant les étapes et les calendriers spécifiques, les besoins en ressources, ainsi que les coûts estimés. Ces dispositions pourront varier fortement selon les entreprises, mais vous pouvez considérer les « premières étapes » mentionnées ci-dessous comme un bon point de départ :
Abandonner progressivement le VPN pour l'accès des tiers : procédez à la migration des consultants et des contractuels vers un service d'authentification moderne et faites en sorte qu'ils se connectent aux applications à l'aide de comptes existants ou de mots de passe à usage unique. En plus de simplifier les processus d'intégration, cette approche évite aux tiers de profiter de la « carte blanche » en matière d'accès réseau accordée par l'utilisation d'un VPN.
Adopter une stratégie de sécurité Zero Trust en matière de télétravail : utilisez un service d'authentification et de gestion des accès reposant sur le principe « ne jamais faire confiance, toujours vérifier », c'est-à-dire qui vérifie l'identité des collaborateurs en télétravail à chaque fois qu'ils accèdent à une application et qui garde une trace de l'ensemble de leurs requêtes. Cette approche vous assure un meilleur degré de contrôle sur un groupe de collaborateurs à haut risque.
Abandonner le VPN pour l'accès à distance : comme lors de l'étape 1, procédez à la migration des collaborateurs en télétravail vers un service d'authentification moderne, comme une solution SSO (Single Sign-On, authentification unique). Ce type de service entrave les mouvements latéraux des acteurs malveillants effectués à l'aide d'appareils ou d'identifiants de VPN compromis.
Consolider les outils de sécurité Zero Trust dans le cadre des renouvellements de contrat : il s'avère rarement possible de remplacer toute une infrastructure existante à la fois, comme les passerelles web sécurisées, les outils d'isolation du navigateur et les agents de sécurité des accès au cloud, par exemple. À expiration de leur contrat, ajoutez ces services à votre plateforme SASE pour bénéficier de gains d'efficacité liés à leur gestion depuis un point unique.
Adopter une stratégie de sécurité Zero Trust dans les sites locaux : les collaborateurs se voient alors demander de s'authentifier par l'intermédiaire de la plateforme Zero Trust, même lorsqu'ils se trouvent au sein du périmètre réseau traditionnel. Cette stratégie bloque les pertes de données, protège les collaborateurs contre les menaces provenant de l'Internet public et prévient les mouvements latéraux des acteurs malveillants.
La s écurité ne concerne pas uniquement l'équipe chargée de cette dernière. Plus l'équipe de direction s'investira dans les projets de sécurité, plus l'entreprise deviendra sûre.
L'approche SASE (de même que les modifications profondes de la société qui la rendent nécessaire) constitue une excellente occasion pour les responsables de la sécurité d'encourager les investissements en la matière. Le travail consistant à lier le SASE à des avantages commerciaux généraux, à démontrer son efficacité en termes de RSI et à établir un plan d'action concret n'est pas des plus simples et ne se verra pas couronné de succès après une poignée de conversations isolées. Toutefois, si les responsables de la sécurité se montrent constants, confiants et montrent l'exemple en adoptant ces meilleures pratiques, ils encourageront une prise de conscience plus large à l'égard de la sécurité et cette prise de conscience leur bénéficiera ainsi à l'avenir, à eux ainsi qu'à leurs équipes.
Découvrez en outre comme Cloudflare met en œuvre le SASE et le Zero Trust en explorant notre plateforme Cloudflare One. Elle place les mesures de sécurité basées sur l'identité, le pare-feu, le WAN-as-a-Service et les autres fonctionnalités SASE au sein d'un réseau unifié et situé à proximité des utilisateurs, partout dans le monde, afin de les aider à se connecter rapidement et de manière sécurisée à n'importe quelle ressource de l'entreprise. En outre, toutes ces fonctionnalités sont conçues depuis le départ pour fonctionner ensemble, de manière immédiate, afin d'aider les équipes de sécurité à simplifier l'adoption du modèle SASE.
Cet article fait partiede notre sérieconsacrée aux nouvelles tendances et évolutions qui affectent les décideurs en matière de technologies d'aujourd'hui.
Cet article vous permettra de comprendre les points suivants :
Pourquoi la promotion du SASE auprès des cadres dirigeants nécessite une approche unique
Les stratégies de description des avantages du SASE à un public non technique
Les premières étapes à privilégier concernant l'adoption du modèle SASE
Débuter avec le SASE : un guide pour sécuriser et rationaliser votre infrastructure réseau
Étude Forrester Opportunity Snapshot: Zero Trust (en anglais)
Découvrez le modèle SASE en détail et commencez à élaborer votre feuille de route vers l'adoption avec le livre blanc Débuter avec le modèle SASE : un guide pour sécuriser et rationaliser votre infrastructure de réseau.