La cybersécurité : le nouveau paradigme

La pandémie de COVID-19 forçant de plus en plus de gens à faire du télétravail, la cybersécurité est devenue un enjeu très important pour les entreprises qui veulent assurer la sécurité de leurs employés et de leurs données. Avant le début de la crise, l’entreprise Cybersecurity Ventures avait déclaré que le piratage coûterait 6 billions de dollars par année d’ici 2021, en hausse de 3 milliards de dollars par rapport à 2015. Ce nombre pourrait même augmenter alors que les entreprises deviennent de plus en plus vulnérables aux cyberattaques maintenant que leurs employés n’utilisent plus l’équipement et les appareils informatiques de bureau approuvés. L’innovation, la technologie et la culture sont les éléments clés de l’efficacité de la cybersécurité dans ce nouveau paradigme.

Avant que la crise de la COVID-19 n’éclate, j’avais rédigé un article sur certaines des principales tendances en matière de cybersécurité auxquelles les dirigeants devraient prêter attention. Le 26 février, j’ai demandé à un panel de chefs de la direction et d’investisseurs de nous parler des tendances sur lesquelles ils mettaient l’accent.

Cette table ronde, qui s’est tenue à San Francisco lors de la Conférence RSA, réunissait certains des plus éminents spécialistes du secteur, dont Sri Dronamraju, chef de la sécurité informatique de BMO Groupe financier; Fran Rosch, chef de la direction de ForgeRock; Jim Dolce, chef de la direction de Lookout; Samir Kumar, directeur général de M12; John Hurley, directeur de la sécurité informatique, stratégie et innovation de BMO Groupe financier; Deepak Jeevankumar, directeur général de Dell Technologies Capital; Prasad Parthasarathi, directeur et chef sectoriel pour la cybersécurité du Corporate Development and Venture Investments Group de Cisco; et Sanjay Beri, chef de la direction de Netskope.

Voici quelques points à retenir de cette table ronde.

Selon M. Dronamraju, il est important d’avoir une longueur d’avance sur les personnes malveillantes en continuant d’investir dans de nouvelles capacités. À l’heure actuelle, les pirates informatiques dépensent plus d’argent pour infiltrer les systèmes des entreprises que les organisations en dispositifs de sécurité. « C’est le plus grand défi auquel le secteur est confronté aujourd’hui. »

Le secteur doit aussi continuer de former plus de talents, affirme-t-il. Actuellement, la demande est plus grande que l’offre du côté des employés spécialisés en cybersécurité.

Finalement, c’est en investissant dans de nouvelles technologies et en améliorant les compétences de nos employés que « nos systèmes de sécurité pourront protéger systématiquement les données de nos clients et nos actifs », affirme M. Dronamraju.

Tendance #1 : Faire évoluer la technologie en tout temps

Les observations de M. Dronamraju ont trouvé écho auprès des autres membres du panel. Ceux-ci s’entendent pour dire que les dirigeants et les chefs de la sécurité informatique doivent investir dans les technologies novatrices.

M. Rosch, dont la société située à San Francisco gère des identités numériques, affirme que les entreprises en attendent beaucoup de la technologie. Les chefs de la sécurité informatique sont de plus en plus intéressés par l’idée d’utiliser l’intelligence artificielle et l’apprentissage machine pour combattre les pirates informatiques, et surtout pour protéger les données et les identités.

« Sur le plan de la protection des identités, il y a une énorme quantité d’authentifications, de connexions et de demandes d’accès à gérer, explique M. Rosch. C’est une excellente occasion de miser sur la technologie pour éliminer les règles ou les approbations manuelles, ainsi que sur l’intelligence artificielle et l’apprentissage machine pour être plus efficace et ne pas avoir besoin de se procurer de nouveaux outils. »

M. Dolce de Lookout nous rappelle que c’est seulement depuis quelques années que les gens utilisent des pare-feu pour se protéger des pirates informatiques. Aujourd’hui, nous utilisons toute une panoplie de solutions infonuagiques. Ce changement a facilité l’adoption et la mise en œuvre rapides de nouvelles technologies, mais créé aussi beaucoup de confusion chez les entreprises, qui se sont mises à acheter plusieurs programmes dont elles n’avaient pas vraiment besoin. 

Selon lui, la technologie en matière de cybersécurité évoluera vers l’utilisation d’une plateforme unique qui offrira plusieurs logiciels intégrés. L’achat de différents programmes individuels ne sera plus la norme.

« Les entreprises utiliseront des plateformes auxquelles elles peuvent ajouter divers modules pour accéder à de nouvelles capacités et à de nouveaux services, explique M. Dolce. Bientôt, les entreprises offriront des plateformes au lieu de produits individuels. »

Tendance #2 : Être plus attentif à l’environnement physique

Les entreprises ne doivent pas seulement se concentrer sur les logiciels, explique M. Kumar de M12. De plus en plus d’entreprises doivent envisager la façon dont leur environnement physique peut avoir un impact sur le potentiel de cyberattaques.

Elles doivent prendre en considération plusieurs réalités, notamment : la façon dont les gens entrent dans l’immeuble, si les employés sont autorisés à apporter leur ordinateur portatif à la maison, ou encore la vulnérabilité des technologies intelligentes aux cyberattaques, comme les thermostats Wi-Fi ou les appareils activés par la voix.

« Cela deviendra de plus en plus problématique, affirme M. Kumar. De nombreux fournisseurs de produits axés sur l’Internet des objets ont des lacunes de sécurité, tant du côté du matériel que des logiciels. Selon moi, le rôle de la sécurité dans l’Internet des objets, que ce soit dans les villes intelligentes ou les systèmes physiques, est un enjeu que nous n’avons pas encore vraiment abordé. »

Tendance #3 : Simplifier les besoins

Une tendance qui a fait l’objet d’une discussion lors du panel de l’année dernière – et qui est toujours d’actualité – est la simplification des besoins de sécurité des entreprises. M. Dolce affirme que beaucoup d’entreprises utilisent une foule d’outils. Et nombreuses sont celles qui finissent par acheter des outils qu’elles n’utilisent pas ou dont elles ne tirent pas le maximum. Les entreprises commencent à vouloir simplifier les choses.

« Les chefs de la direction sont au cœur de cette transformation. Ils cherchent à consolider ces technologies, explique M. Dolce. Les solutions infonuagiques devront évoluer et devenir des plateformes auxquelles on peut ajouter différents modules pour accéder à de nouvelles capacités et à de nouveaux services, tout en combinant ces modules et leurs fonctionnalités en une solution intégrée unique. Bientôt, les entreprises offriront des plateformes au lieu de produits individuels. »

Tendance #4 : Intégrer la sécurité dès le départ

Selon M. Jeevankumar, la vitesse d’adaptation au changement d’une entreprise est aussi importante.

« Il existe toujours un débat entre ce qui est prioritaire et ce qui est essentiel », affirme-t-il. Les chefs de la sécurité informatique avec lesquels il discute s’intéressent à ce qu’il appelle « l’intersection entre le code de vie du développeur et la cybersécurité ». 

Dell Technologies Capital souhaite travailler avec de jeunes entreprises novatrices du secteur de la technologie dont les développeurs peuvent réagir rapidement aux problèmes de cybersécurité.

« Nous recherchons de jeunes entreprises qui innovent, tant sur le plan des technologies que de la stratégie de mise en marché, et qui peuvent concilier la stratégie du développeur et celle de la cybersécurité. »

Selon M. Parthasarathi de Cisco, la démarche DevSecOps, selon laquelle les développeurs pensent à la sécurité dès le développement d’un logiciel, gagne en popularité.

« Les contrôles de sécurité seront de plus en plus intégrés au code lors de la conception du logiciel et les bonnes pratiques en matière de sécurité seront appliquées lors de la production et en environnement d’exécution », explique M. Parthasarathi.

Tendance #5 : Créer une meilleure culture d’entreprise

Selon M. Beri de Netskope, les entreprises doivent aussi s’efforcer de créer une culture d’innovation appropriée. Ces dernières années, certaines des entreprises traditionnelles de marque du secteur de la sécurité informatique ont connu des difficultés, car leurs employés ne voulaient plus travailler pour elles. Mettre en place une solide culture d’entreprise qui imprègne chaque aspect des opérations, du recrutement à l’évaluation en passant par le choix des investisseurs, est essentiel à la réussite.

« L’important selon moi, c’est de rester fidèles à la culture que vous voulez instaurer à l’échelle de votre entreprise, à vos investisseurs, à votre équipe et à vos employés, affirme M. Beri. Cela porte fruit et vos clients s’en rendent compte. Ils voient la façon dont vous opérez et veulent travailler avec vous. »

M. Rosch ajoute que le succès est aussi une question de timing. Il faut, bien sûr, offrir des produits que les gens veulent acheter. Mais c’est plus facile à dire qu’à faire.

« J’ai essayé d’être novateur. J’étais soit trop à l’avant-garde du marché ou je suis arrivé trop tard. C’est pourquoi le timing est si important, explique-t-il. Je suis chanceux de travailler dans le secteur de la gestion des identités, car de nombreuses entreprises accordent la priorité à cette activité aujourd’hui. »

Tendance #6 : Bâtir des entreprises durables

Un des problèmes des jeunes entreprises du secteur de la sécurité informatique est que les entrepreneurs sont trop impatients de faire des ventes, ce qui peut avoir un impact sur l’innovation, explique M. Dolce. Il espère voir un nombre croissant de gens qui bâtiront de solides entreprises durables.

« Vous ne vendez pas une entreprise – vous vous faites acheter, poursuit-il. Vous allez au travail chaque jour et vous bâtissez une entreprise durable. Vous vous concentrez sur votre modèle d’affaires et ses paramètres. Vous faites croître vos revenus, votre marge brute et votre rentabilité. Vous faites preuve d’innovation en créant de nouvelles technologies à lancer sur le marché. Et si vous faites bien votre travail, alors peut-être que quelqu’un vous remarquera. »

Selon M. Hurley de BMO, il existe d’autres tendances à prendre en compte. Par exemple, il sera encore plus important à l’avenir d’offrir une formation sur la cybersécurité aux employés. Mais, au bout du compte, ce sont les entreprises qui créent des produits novateurs et celles qui mettent à profit les nouvelles technologies – en période de pandémie ou non – qui réussiront à déjouer les personnes malveillantes.

Yogesh Amle, CFA, est directeur général au sein du groupe des Services technologiques et services aux entreprises de BMO Marchés des capitaux où il dirige l’équipe responsable des logiciels bancaires. En poste à San Francisco, il compte plus de 20 ans d’expérience dans le financement aux entreprises et les logiciels et systèmes d’entreprise et il conseille des sociétés technologiques à forte croissance.