L'émergence d'un nouveau rôle dirigeant : le Chief Zero Trust Officer
La cybersécurité s'est récemment imposée au premier plan des discussions au sein du CODIR. Le climat de tensions géopolitiques et d'instabilité économique actuel a intensifié la menace des cyberattaques et touche désormais toutes les entreprises à travers le monde, tous secteurs confondus. Les risques sont réels et potentiellement dévastateurs, notamment en ce qui concerne les attaques par rançongiciel et les violations de données susceptibles d'exposer des informations critiques sur les clients. Les entreprises deviennent par conséquent toujours plus conscientes de l'importance d'une plus grande résilience et d'une meilleure préparation de leur cybersécurité. Les entreprises doivent réorienter leur stratégie de cybersécurité, en passant de la simple réaction aux attaques lorsqu'elles surviennent à la planification proactive de ces événements inévitables.
La stratégie de sécurité Zero Trust a récemment connu un essor considérable. Son principe fondamental est simple : ne faire confiance à personne et toujours tout vérifier. Fondées sur le périmètre réseau, les approches traditionnelles de la cybersécurité ne sont plus adaptées au panorama numérique décentralisé d'aujourd'hui. C'est de ce constat que découle l'adoption des architectures Zero Trust modernes. Afin d'assurer leur sécurité, les entreprises doivent vérifier l'identité et la fiabilité de tous les utilisateurs, appareils et systèmes qui accèdent à leurs réseaux et leurs données.
Depuis un certain temps déjà, le Zero Trust retient l'attention des chefs d'entreprise et des membres des cabinets de direction. Il ne s'agit plus désormais d'un simple concept, mais d'une nécessité. À l'heure où le télétravail ou le travail hybride sont devenus la norme et où le nombre de cyberattaques ne cesse d'augmenter, les entreprises prennent conscience qu'elles doivent adopter une approche radicalement novatrice de la cybersécurité. Ces changements stratégiques peuvent s'avérer difficiles à mettre en œuvre. De nombreuses entreprises ont commencé à déployer des processus et des technologies Zero Trust, mais rares sont celles qui les ont pleinement intégrés. Il reste ainsi encore de nombreuses opportunités de mettre en place le Zero Trust en tant que composante fondamentale de l'entreprise.
Pourquoi désigner un membre du CODIR chargé du Zero Trust et pourquoi le faire maintenant ?
Plusieurs multinationales se heurtent à des difficultés durant la phase de mise en œuvre de leurs programmes Zero Trust. Ces problèmes sont souvent la conséquence d'un manque de clarté en matière de direction et de responsabilité. Qui exactement est responsable de l'adoption et du déploiement du Zero Trust au sein de l'entreprise ? C'est ici que le rôle de Chief Zero Trust Officer (CZTO, directeur du Zero Trust) peut potentiellement faire la différence.
Les grandes entreprises ont besoin de dirigeants compétents pour superviser l'ensemble de leurs activités et veiller au bon déroulement de leurs opérations. Les corporations confient les responsabilités de cette direction à des personnes qui siègent au CODIR, à l'image du directeur général (CEO) ou du directeur financier (CFO). Il incombe à ces rôles de proposer une orientation, d'établir une stratégie, de prendre des décisions cruciales et de superviser les opérations quotidiennes. De même, les personnes qui les occupent sont souvent tenues responsables des performances et de la réussite globales de l'entreprise devant son conseil d'administration.
De manière similaire, les grandes entreprises et les grandes organisations exigent qu'un interlocuteur unique soit chargé de superviser le parcours d'adoption du Zero Trust. Ce dirigeant doit faire preuve d'une concentration inébranlable et se voir confier les prérogatives nécessaires au déploiement du Zero Trust dans l'ensemble de l'entreprise. C'est ainsi que le concept de Chief Zero Trust Officer a vu le jour. Le terme Chief Zero Trust Officer revêt une grande signification, quand bien même il pourrait n'avoir l'air que d'un simple intitulé de poste. Il attire l'attention et présente le potentiel de surmonter de nombreux obstacles dans la lourde tâche qui vise à relever les problématiques liées à la mise en œuvre du Zero Trust.
Surmonter les obstacles à l'adoption
Un Chief Zero Trust Officer peut aider une entreprise à relever une multitude de défis technologiques susceptibles de survenir lors du déploiement du Zero Trust. La compréhension et la mise en œuvre de l'architecture complexe de certains fournisseurs peuvent demander du temps, exiger une formation approfondie ou nécessiter le recours à des services professionnels afin d'acquérir l'expertise indispensable. Le processus d'identification et de contrôle des utilisateurs et des appareils peut également constituer un défi au sein d'un environnement Zero Trust. Il implique de procéder à un inventaire précis de la base d'utilisateurs de l'entreprise, des groupes dont ils font partie, ainsi que des applications et des appareils qu'ils utilisent.
Du point de vue organisationnel, la coordination entre les différentes équipes est cruciale pour mettre en œuvre le Zero Trust de manière efficace. L'abolition de toutes les formes de cloisonnement au sein des services chargés de l'IT, de la cybersécurité et de la connectivité réseau, mais aussi la mise en place de canaux de communication clairs et l'organisation de réunions régulières entre les membres de l'équipe, constituent autant de démarches susceptibles de contribuer à l'établissement d'une stratégie de sécurité unifiée. La résistance au changement peut également s'avérer un obstacle considérable. Les dirigeants doivent ainsi recourir à différentes tactiques pour atténuer ses effets : donner l'exemple, communiquer de manière transparente et impliquer les collaborateurs dans le processus de transformation. Par ailleurs, le fait de répondre à l'avance aux préoccupations, mais aussi de proposer un soutien et des opportunités de formation aux collaborateurs, peut également faciliter la transition.
Responsabilité et imputabilité – quel que soit le nom que vous donnez
Une entreprise a-t-elle besoin d'un CZTO ? Ce poste peut-il être confié à un collaborateur actuellement chargé de la supervision de la sécurité au sein du bureau du CTO ou du RSSI ? Les entreprises doivent attribuer les titres en fonction du niveau d'importance stratégique de ces derniers pour l'entreprise. Qu'il s'agisse du Chief Zero Trust Officer (directeur du Zero Trust), du Head of Zero Trust (responsable du Zero Trust), du VP of Zero Trust (vice-président chargé du Zero Trust) ou de tout autre titre, ce rôle doit attirer l'attention et s'accompagner de l'autorité nécessaire pour abattre les cloisonnements (silos) et réduire les formalités bureaucratiques.
L'émergence de nouveaux postes au niveau du CODIR n'est pas un événement rare. Les rôles de Chief Digital Transformation Officer (directeur de la transformation numérique), Chief Experience Officer (directeur de l'expérience), Chief Customer Officer (directeur de la clientèle) et Chief Data Scientist (Data Scientist en chef) ne sont que quelques exemples des nouveaux postes apparus ces dernières années. Il est tout à fait probable que le poste de Chief Zero Trust Officer ne s'inscrive même pas dans la durée. Toutefois, la personne qui occupe ce poste devra détenir l'autorité et la vision indispensables pour faire progresser l'initiative Zero Trust, tout en bénéficiant du soutien de la direction de l'entreprise et du conseil d'administration.
Parvenir au Zero Trust
L'adoption de la sécurité Zero Trust constitue désormais une obligation pour de nombreuses entreprises, car le modèle traditionnel de la sécurité basée sur le périmètre ne suffit plus à assurer une protection contre les cyberattaques sophistiquées d'aujourd'hui. La supervision d'un CZTO est cruciale pour aider l'entreprise à s'orienter face aux obstacles techniques et organisationnels que comporte la mise en place du Zero Trust. Le CZTO doit ainsi diriger l'initiative Zero Trust, aligner les équipes et surmonter les difficultés afin d'assurer un déploiement fluide. Le poste de CZTO souligne l'importance du Zero Trust au sein de l'entreprise. C'est à lui de s'assurer que l'initiative Zero Trust bénéficie de l'attention et des ressources nécessaires au succès de sa mise en œuvre. Les entreprises qui se sont adjoint les services d'un CZTO aujourd'hui sont celles qui s'imposeront à l'avenir.
Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions susceptibles d'affecter les décideurs en matière de technologies d'aujourd'hui.
Approfondir le sujet
Vous trouverez davantage d'informations sur la marche à suivre pour réaliser votre transition d'un modèle de sécurité traditionnel et basé sur le périmètre au modèle Zero Trust à l'aide d'une plateforme SASE dans notre e-book intitulé Réussir la transition vers le SASE : 10 étapes clés pour bien le mettre en œuvre.
Points clés
Cet article vous permettra de comprendre les points suivants :
Les raisons pour lesquelles le modèle de sécurité Zero Trust gagne du terrain
La marche à suivre pour surmonter les obstacles à l'adoption du Zero Trust
Pourquoi un CZTO dynamisera le succès d'une entreprise