Pourquoi les entreprises doivent revoir les responsabilités de chacun en matière de sécurité

Dans un écosystème IT de plus en plus morcelé, savoir qui gère chaque élément devient un véritable casse-tête. Ce manque de transparence peut nuire à la sécurité et engendrer de sérieux risques pour les entreprises. Une matrice des responsabilités peut alors aider à combler les failles de sécurité et à optimiser les opérations.

Par  Baptiste Rech, Area Vice President EMEA South, Semperis

À l’ère des infrastructures IT hybrides, les responsabilités au sein des services IT sont moins transparentes qu’elles ne l’étaient.
Auparavant, une équipe centralisée gérait tout ce qui avait trait à l’IT. Aujourd’hui, une palette de spécialistes en couvre les différentes facettes, depuis l’informatique individuelle, l’infrastructure et la sécurité jusqu’aux stratégies de gestion cloud et de transformation.

Dans ce paysage IT en expansion, il est de plus en plus difficile de faire en sorte que les attributions des uns et des autres soient connues de tous, en définissant clairement les rôles et responsabilités de chacun.

Prenons l’exemple de Microsoft Active Directory (AD), un service d’identité utilisé par plus de 90 % des entreprises du classement Fortune 1 000 pour gérer leurs postes de travail et leurs ressources, donnant accès à des services clés comme Office 365. Rien que pour Microsoft AD, il n’est pas rare qu’une équipe soit chargée d’en assurer le bon fonctionnement, quand une autre s’occupe des questions de sécurité et des configurations associées, et une troisième des calendriers de mises à jour et des dépendances avec les autres aspects de l’environnement.

Et ce n’est là qu’un exemple d’élément d’infrastructure IT tributaire de plusieurs équipes en partageant les responsabilités. Le problème, c’est qu’un manque de clarté fait le jeu de failles à l’intérieur de structures IT toujours plus complexes, soulevant des risques de sécurité et des problèmes opérationnels.

Côté fusions et acquisitions, force est de constater que ces défauts de responsabilité peuvent également se faire jour et se multiplier.

Les entreprises et leurs conseils d’administration s’efforcent souvent de finaliser et conclure ce type de transactions au plus vite. Dès lors, l’observation de niveaux de sécurité appropriés et la réalisation d’un audit IT préalable sont parfois sacrifiés au nom de la disponibilité opérationnelle. En tout état de cause, cette ligne de conduite engendre naturellement des problèmes.

L’IT des infrastructures IT hybrides, sont fondamentales à la réussite d’une fusion-acquisition. Essentielles à l’accélération des périodes de transition, elles font en sorte que les nouveaux collègues puissent accéder à la fois à des données jusqu’alors stratégiques et à de nouveaux systèmes de référence lorsqu’ils prennent leurs nouvelles fonctions. Or, souvent pressées par le temps, les entreprises finissent par tenter d’accommoder deux méthodes de travail différentes et autant de conventions d’appellation et parcours sibyllins à travers une union semée d’embûches.

Faute de s’intéresser à ces aspects et de leur porter l’attention qu’ils méritent, plusieurs problématiques de sécurité risquent de se poser. Si l’on reprend l’exemple d’AD, les entreprises pourraient hériter de systèmes et de comptes mal configurés dont la société-mère deviendrait alors responsable.

Dans certains cas, l’environnement de l’entreprise achetée est parfois déjà même contaminé par des acteurs malveillants qui profitent alors de l’occasion pour s’infiltrer dans celui de la société-mère. Raisons pour lesquelles il est primordial de diligenter en priorité un audit préalable, en définissant clairement les responsabilités en matière de sécurité pour optimiser la visibilité et limiter les menaces potentielles.

Établir une matrice des responsabilités

Bien entendu, la tâche s’avère plus complexe qu’il n’y paraît. Alors, comment les entreprises peuvent-elles s’y prendre exactement pour dissiper le manque de clarté entourant la répartition des responsabilités, limiter les interruptions d’activité et combler les lacunes de sécurité à mesure qu’elles se font jour ?

En l’occurrence, la création d’une matrice des responsabilités peut porter ses fruits. En remettant à plat les rôles et responsabilités de chacun, les entreprises sont en mesure d’isoler les manques éventuels et d’y remédier.

Qui gère tel logiciel et les configurations correspondantes ? À quoi ces configurations sont-elles censées ressembler ? Et qui informer si un changement s’opère ? Telles sont quelques-unes des questions déterminantes auxquelles une matrice des responsabilités permet de répondre, en clarifiant les choses pour le personnel en charge de l’IT et de la sécurité.

En outre, l’intérêt d’une matrice des responsabilités est aussi tout particulièrement évident pour les entreprises qui prévoient de réaliser des changements d’infrastructure majeurs, l’adoption d’un nouvel environnement cloud par exemple.

Elles ont le sentiment qu’en créant quelque chose de nouveau ou en modernisant quelque chose d’ancien dans le cadre de leurs transformations digitales, elles effaceront toute dette technique antérieure. Or, dans bien des cas, il n’en est rien. Il ne suffit pas de reconstruire une pile IT entièrement nouvelle et d’effacer l’ancienne : cela ne fonctionne pas de la sorte.  

Souvent, nombre de passerelles sont jetées entre l’ancienne et la nouvelle pour que tout fonctionne sans heurt. Si le manque de clarté autour des responsabilités de chacun est à l’origine de configurations médiocres, de dysfonctionnements de processus ou de failles de sécurité, le recours à de nouvelles technologies ne fera qu’importer et exacerber ces problèmes.

Empêcher des répercussions « graves » ou « catastrophiques »

Vous devez tout bonnement vous assurer que la sécurité et l’intégrité IT en lien avec des systèmes de base comme AD sont acquises, puis vous employer à trouver un moyen d’associer les nouvelles applications aux bases de données clés de manière sûre et fluide.

À défaut, des failles se feront jour. Et si celles-ci sont exploitées, les conséquences peuvent être notables.

D’après une enquête réalisée par Semperis sur le salon Infosecurity Europe en juin 2023, 69 % des entreprises affirment que les répercussions seraient « graves », voire « catastrophiques » si une cyberattaque compromettait leurs contrôleurs de domaine et entraînait une panne de leur service AD. Et les conséquences financières de ces interruptions risquent d’être lourdes. De fait, le coût de 60 % des pannes empêchant les entreprises d’exercer leurs activités est estimé à plus de 100 000 dollars.

Pour échapper à ces onéreuses répercussions, il importe de revoir les responsabilités de chacun en matière de sécurité et d’éliminer les vulnérabilités susceptibles d’être présentes. Faites vous en priorité une idée précise de vos ressources et des configurations qui leur sont associées, et vérifiez qu’elles sont correctes. À défaut, trouvez une personne compétente en la matière susceptible de vous aider à réaliser cette tâche.

À LIRE AUSSI :

Secu

Les 5 erreurs qui mettent en danger votre Active Directory

La rédaction

17 Août

À LIRE AUSSI :

Secu

Comment les assureurs deviennent des évaluateurs de cybersécurité de votre entreprise

La rédaction

28 Fév

Abonnez-vous à la newsletter hebdo d'IT for Business !

Rejoignez notre liste de diffusion pour recevoir toutes les semaines une sélection d'articles et quelques autres surprises préparées spécialement pour vous par notre rédaction.

ABONNEZ-VOUS !

Nous vous envoyons un e-mail de validation !