Laurent de la Vaissière, Associate Partner au sein de KPMG

Avec l’avènement de l’ère numérique, les entreprises n’ont pas eu d’autres choix que d’ouvrir leur environnement informatique vers l’extérieur. « Les systèmes ne peuvent plus fonctionner en totale autonomie comme ce pouvait être le cas il y a encore quelques années, commente Laurent de la Vaissière, Associate Partner au sein de KPMG, spécialiste des enjeux de cybersécurité. Les environnements sont de plus en plus interconnectés. Les entreprises, afin de gagner en flexibilité, ont recours à des ressources informatiques extérieures, stockent leurs données dans le cloud, s’appuient de plus en plus sur des solutions applicatives opérées depuis l’extérieur de l’organisation. Les grands fournisseurs de solutions eux-mêmes déploient des stratégies cloud poussant les utilisateurs vers ces modèles. »

Sous-traiter en tenant compte des enjeux de sécurité

Sous-traiter la gestion des services informatiques ou provisionner des solutions et des ressources dans le cloud présente de nombreux avantages. Tout en permettant aux organisations de se concentrer sur leur cœur de métier, l’externalisation permet d’accéder à plus de flexibilité. Chacun peut désormais payer des services en fonction de ses besoins réels et profiter de conséquentes économies d’échelle. « La sous-traitance, quelle qu’en soit la forme, implique toutefois de prendre en considération des enjeux de cybersécurité, explique Laurent de la Vaissière. Quelles garanties un fournisseur apporte-t-il en matière de disponibilité du service ou encore de protection des données ? Qu’en est-il de la responsabilité des opérateurs en présence ? Ces questions sont évidemment essentielles quand on expose ses systèmes à l’extérieur, quand on confie leur configuration et leur maintenance à des tiers. »

À la croisée des chemins

En la matière, au niveau du secteur financier luxembourgeois, nous sommes à la croisée des chemins. « Par rapport à d’autres pays, nous avons pris un certain retard, notamment en matière d’accès aux services cloud, poursuit le spécialiste de KPMG. Le régulateur a pris le taureau par les cornes, avec une première circulaire publiée en 2017, remise à jour au début de cette année. Ce nouveau cadre réglementaire a suscité un réel intérêt de la part des acteurs de la place financière. Aujourd’hui, la plupart des banques ont nommé un cloud officer. »

Une nouvelle façon d’appréhender la sécurité

Le cloud introduit de nouvelles manières d’appréhender la ressource informatique, de la consommer. On peut facilement provisionner de nouveaux services ou en abandonner. Dans ce nouvel environnement, chaque organisation doit mettre en œuvre de nouvelles approches de gestion de la sécurité. « Si elle peut facilement recourir à des services extérieurs, l’entreprise ne peut pas sous-traiter pour autant sa responsabilité. Elle doit s’assurer de la sécurité et de la disponibilité de ses systèmes, garder la maîtrise sur ses données, veiller au respect des exigences réglementaires qui lui incombent », souligne Laurent de la Vaissière.

Dans ce contexte, il est nécessaire d’adapter les compétences, de former les collaborateurs eu égard à ces nouveaux enjeux. Les organisations sont appelées à se réinventer au départ d’une nouvelle gouvernance des risques et de la sécurité pour mieux profiter des opportunités offertes par le cloud. « Dans ce contexte, la sécurité doit être considérée comme un adjuvant à la transformation numérique et non un frein. On ne peut plus aujourd’hui raisonner en se disant que l’information sensible doit rester dans l’entreprise, ne peut pas en sortir. L’enjeu est de trouver le moyen de la sécuriser au regard des risques et des opportunités en présence », indique Laurent de la Vaissière.

Une approche basée sur les risques

Avec une approche basée sur les risques plus que sur des obligations de contrôle, il est alors possible de faire évoluer les politiques de sécurité. « L’enjeu est d’intégrer la sécurité dès le départ dans toutes les démarches de transformation et plus uniquement à la fin comme ça a longtemps été le cas. De cette manière, on peut mieux envisager les opportunités liées à la sous-traitance des opérations au fil du temps et s’assurer que l’on dispose de toutes les garanties nécessaires », précise le spécialiste.

Solutions techniques et contractuelles

À cette fin, l’organisation peut évidemment se faire accompagner par des spécialistes, recourir à des solutions lui permettant d’opérer une veille sur l’ensemble de son environnement. Recourir à un Security Operations Center, par exemple, permet de monitorer l’ensemble d’un environnement IT et de faire remonter des alertes en cas d’anomalies constatées. « Au-delà des solutions techniques, intégrer la sécurité au sein d’une approche globale permet aussi de mieux définir les règles et les obligations de chacun, celles qui incombent à l’organisation et aux différents fournisseurs, au cœur des contrats. On peut aussi mieux prévoir les contrôles et les audits dans le temps », explique Laurent de la Vaissière.

La sécurité, élément stratégique incontournable

La transformation numérique de l’entreprise, de plus en plus, constitue un enjeu stratégique. En intégrant les enjeux de sécurité au cœur d’une gouvernance globale des risques, on peut plus facilement faire évoluer l’organisation, envisager la meilleure manière de sous-traiter certaines fonctions, trouver des solutions performantes pour les nouveaux besoins exprimés par le métier. « Le département IT, dans ce contexte, doit être force de proposition, pour servir les ambitions de l’entreprise, lui permettre de se transformer en profitant des avantages de l’externalisation tout en lui garantissant de préserver la maîtrise de l’environnement et de limiter les risques », assure Laurent de la Vaissière. Plus que jamais, la cybersécurité se fait alliée du business.