21 octobre 2020
– 3 minutes de lecture
Samaila Ibrahim
Uber en 2016, Doctolib en 2020 sont des illustrations permettant de prendre conscience de la multiplicité des attaques informatiques dans le monde.
Selon les chiffres de Cyber Malveillance (site gouvernemental), quelques 90 000 victimes ont été assistées sur la plateforme en 2019, contre 28 855 en 2018, soit une augmentation de plus de 210%. Ces attaques ont plusieurs conséquences allant de la détérioration de l’image de marque à des pertes financières colossales. La crise sanitaire a mis en évidence le besoin de sécuriser davantage les systèmes d’information avec les nouveaux usages.
Face à cette situation, il est important pour les différents acteurs, en particulier les entreprises et les administrations, de réagir efficacement et de mettre la cybersécurité comme un des piliers de la transformation des systèmes d’information (SI). L’architecture d’entreprise (AE) est un des vecteurs de l’adoption et de la mise en œuvre de la sécurité dans les SI.
Que faisons-nous aujourd’hui ?
De nos jours, il est commun dans le design d’architecture de faire passer les fonctionnalités et les processus en priorité. La sécurité est souvent reléguée à la fin de la conception avec un espoir d’obtenir le « tampon sécurité » de la personne en charge de la SSI (Sécurité des systèmes d’information). Face aux contraintes financières et de planning, la cellule sécurité n’a pas d’autre choix que de valider les architectures présentées sans avoir eu le temps de passer au peigne fin les implications de cette architecture.
Par conséquent, Il est primordial de changer de paradigme et d’adopter une réflexion fondamentale de « Security by design ».
Quelles sont les pistes d’amélioration ?
La sécurité couvre l’ensemble des systèmes d’information et sa prise en compte démarre depuis l’architecture. Ainsi, les exigences de sécurité doivent être prises en compte dès la conception des systèmes d’informations mais aussi mis au centre de la gouvernance de ces derniers. A titre d’exemple, tous les acteurs et actrices (architectes, développeurs, testeurs, UX designers, …) qui conçoivent les applicatifs doivent respecter les bonnes pratiques formalisées dans les normes de sécurité.
Dans ce contexte, plusieurs pistes permettent de faire converger la sécurité et l’innovation dans la transformation du SI et plus globalement amener à la résilience de l’entreprise.
Organisation
La personne en charge de la SSI (ou son service) devra être associé dès la phase préliminaire de conception de l’architecture (idéalement dès l’expression des besoins). Cette démarche permettra de prendre en compte les contraintes de sécurité en amont. Une autre mesure est de donner sa place et une voix forte à la personne en charge de la SSI au sein des comités de validation des architectures.
Evaluer les risques des briques du SI
Cette démarche a pour but de cartographier les SI et de donner des points de criticité aux différentes briques identifiées. De plus, cette démarche permettra de mettre en évidence l’impact d’une attaque de sécurité sur les activités, les organisations et les personnes ainsi que pour définir les axes d’amélioration associés. Cette cartographie pourra faire l’objet d’un partage à toutes les parties prenantes de l’organisation pour les embarquer et les sensibiliser sur ce sujet.
Gérer les risques
A travers la mise en place d’un plan de continuité d’activités (PCA) et d’un plan de reprise d’activités (PRA). Plusieurs actions permettent d’identifier les risques sur une organisation. Une de ces actions consiste à identifier les relations existantes entre les applications, les technologies utilisées, les processus et les équipes concernées afin d’avoir une vision claire et formalisée des impacts sur les activités de chaque unité organisationnelle, ainsi que sur leurs dépendances sur le plan technologique.
En associant l’architecture d’entreprise et ses outils à un référencement des applications, des technologies, des données et des processus, l’entreprise se donne les moyens de comprendre l’impact d’un incident sur la poursuite de son activité et sur les moyens d’y faire face. Cette visibilité renforcée sur l’environnement technologique de l’entreprise a une importance capitale en temps de crise dans la mesure où l’arrêt des logiciels non essentiels est par exemple indispensable afin d’économiser de la bande passante pour les collaborateurs en télétravail.
Conclusion
Dans un monde de plus en plus concurrentiel et innovant, La sécurité et l’architecture deviennent de plus en plus indissociables notamment dans les évolutions et les transformations des SI actuels. Au travers de différentes stratégies, Il est indispensable de renforcer les synergies entre l’architecture d’entreprise (et plus globalement toutes les facettes de l’architecture) et la sécurité afin de rendre les entreprises plus résilientes aux chocs endogènes et exogènes.
