Dans le cadre de ma série « Cybersécurité en trompe l’œil – Les failles de la sécurité SI », et après mes articles précédents sur le sujet, me voici de retour pour vous faire part d’une interrogation à laquelle je n’ai pas de réponse ou en tout cas pas de réponse qui me satisfasse.

tablet-1712483_640

Comment concilier Sécurité et Agilité avec Innovation Métier dans un grand groupe ?

La sécurité SI, frein à l’innovation des métiers

J’ai souvent été confronté lors de mes différentes missions au dilemme suivant : Un grand groupe souhaite innover et mettre en place des modèles métiers différents. Il crée souvent pour cela des filiales en se disant, non sans raison, que cela facilitera l’indépendance et l’agilité métier des équipes pour s’affranchir des contraintes de la maison mère.
Malheureusement cette volonté d’agilité se heurte parfois à des contraintes de sécurité SI, car alors que le nouveau modèle métier peut légitimement engendrer des risques de sécurité bien moindres, en tout cas radicalement différents, la filiale se trouve obligée de se couler dans le moule imposé par sa maison mère, parce que des liens subsistent entre la filiale et sa maison mère. La filiale peut souhaiter utiliser certains systèmes de la maison mère pour accélérer son développement ou limiter ses investissements. La maison mère peut souhaiter garder la main par exemple sur les systèmes comptables et financiers de la filiale.

Malheureusement le modèle de sécurité SI dominant est le système périmétrique : il vise à éliminer toutes les failles permettant d’entrer dans un périmètre de sécurité (et à l’inverse une fois le périmètre franchi… c’est la que les gros ennuis commencent). Avec ce paradigme, le moindre poste de travail de la filiale peut présenter un risque global s’il n’est pas conforme à la politique du groupe.
Il en est de même des accès en mode SaaS à une application métier pourtant adaptée au métier de la filiale, mais dont l’éditeur n’a ni les moyens ni les compétences pour atteindre, à court terme, un niveau de sécurisation suffisant de son application ou de ses infrastructures.
Le paradigme périmétrique de la sécurité oblige la maison mère à vouloir tout contrôler et tout filtrer en terme de devices, de connexions et de flux entre ses utilisateurs et les systèmes d’informations utilisés. Plus la sécurité augmente, plus la rigidité augmente pour les métiers, jusqu’à devenir paralysante.

Comment éviter que les contraintes de sécurité SI ne sclérosent l’innovation métier ?

Quelques éléments possibles de réponse, plus ou moins adaptés suivant le contexte de l’entreprise :

  • Faire accepter à la sécurité que des risques métiers différents puissent se traduire par des niveaux de sécurité différents. Mais cela implique d’accepter des failles potentielles de sécurité et même sur des périmètres métiers sans lien opérationnel avec les autres activités de la maison mère, cela est difficile à accepter pour les équipes sécurité. En théorie c’est tout a fait possible, dans la réalité (cf mes articles précédents sur le traitement de la sécurité SI) cela me semble peu crédible dans  des entreprises ayant des exigences de sécurité importantes. Pour un RSSI, circonscrire un risque et le réduire à zéro c’est malheureusement trop souvent la même chose.
  • Sortir du paradigme de gestion périmétrique de la sécurité et refondre l’ensemble de son SI pour que seules les transactions identifiées par une infrastructure de confiance puissent s’exécuter. Vaste chantier de longue haleine, et qui ne règle probablement pas tous les problèmes sécuritaires liés aux fuites de données sur les postes de travail locaux des utilisateurs.
  • Laisser la filiale complètement indépendante sur le plan SI et en assumer les conséquences :
    • sur le plan des investissements à consentir
    • sur le plan des inconvénients opérationnels, par exemple si la filiale réalise une partie de sa production de manière collaborative avec sa maison mère. Dans ce cas la maison mère doit être prête à travailler avec sa filiale comme elle le ferait avec un fournisseur externe sans aucun lien de subordination.
    • sur le plan comptable et financier : la maison mère doit être prête à demander un simple reporting financier sous forme de tableur. Et à faire la consolidation à la mano.
    • sur le plan de la marque : dans le cas où la marque de la maison mère est associée à des exigences de sécurité 

Cette dernière « solution » me parait souvent la seule faisable. Là ou P. Silberzahn explique (dans son ouvrage « Relevez le défi de l’innovation de rupture« ) comment un grand groupe ne  peut pas innover car son modèle métier ne lui permet pas de voir le potentiel ou de faire grandir une innovation, je rajoute donc que les contraintes de sécurité SI en rajoutent une couche. Encore une raison pour les grands groupes à s’orienter vers l’excubation ou vers le financement de startups lorsqu’ils veulent innover.