Quand, il y a quatre ans, Tim Callahan est arrivé chez Aflac pour occuper le poste le responsable de la sécurité des systèmes d'information (RSSI), la sécurité du géant de l'assurance était essentiellement de la responsabilité de l'équipe d'infrastructures. À son arrivée, l’une des premières actions du RSSI a été de demander au DSI la permission de transférer cette responsabilité à son équipe. M. Callahan admet volontiers que le changement de culture n'a pas été facile, mais il pense que cette séparation a débouché sur une meilleure collaboration. « Le réseau et la sécurité font appel à des compétences distinctes, et il est dangereux de les traiter d’un seul bloc », a-t-il déclaré. « Dans un secteur extrêmement réglementé comme celui de l’assurance, il est important d’établir une séparation des tâches ».

Plaider pour une équipe de sécurité tout à fait séparée n’est pas chose facile pour les responsables de la sécurité, d’autant que les professionnels qualifiés dans ce domaine sont rares. Le cabinet d'analystes ESG a constaté qu'entre 2014 et 2018, dans le cadre d'une enquête mondiale sur l'état de l’IT, le pourcentage de personnes faisant état d’une pénurie problématique de compétences en cybersécurité dans leur entreprise a plus que doublé, passant de 23 à 51 %. Tim Callahan soutient cependant qu’une répartition en deux équipes peut bien fonctionner à condition d’attribuer des objectifs clairs à chaque équipe, des rôles et des responsabilités bien définis aux membres de l'équipe, et d’être prêt à l'innovation et à l'automatisation pour compléter les ressources humaines.

Respecter les périmètres

Chez Aflac, l’équipe de sécurité a pour responsabilité de surveiller l'environnement, d'informer l’entreprise des attaques et des vulnérabilités, et de créer des normes et des protocoles. « Nous déterminons le risque au moyen d'un solide programme de gestion des vulnérabilités, puis nous définissons et nous transmettons à l'équipe réseau les mesures correctives à prendre en priorité », a expliqué M. Callahan. « Quand les lignes sont claires, le travail de chacun est respecté et l’environnement de travail est plus sain ».

L'équipe de sécurité d'Aflac utilise une matrice des responsabilités ou RACI, dans laquelle sont consignés les participants responsables et/ou imputables, les personnes avec lesquelles elles doivent se coordonner et/ou celles qu’elles doivent informer à différentes étapes du cycle de vie d'un projet. Cependant, selon M. Callahan, cela ne fonctionne que si la sécurité est considérée comme une composante essentielle de toute initiative IT, et non comme une réflexion après coup. « Nous intervenons au début du cycle de développement de l'équipe réseau pour nous assurer que le code créé est vraiment sécurisé », a-t-il précisé. « Ce n’est pas quelque chose que nous découvrons juste avant la mise en production et nous n’avons pas à refuser telle ou telle faiblesse de sécurité, au risque d’être accusés d’empêcher le progrès ».

Pourquoi distinguer la sécurité de la mise en réseau ?

Chris Calvert, cofondateur de Respond Software, un outil d'automatisation qui utilise l'intelligence artificielle pour simuler les réactions des analystes en sécurité, affirme qu'il est important que la sécurité ne soit pas l’oubliée du remaniement informatique. « Parmi les centres de sécurité opérationnels que j'ai développés, quand l’IT intégrait la sécurité, celle-ci se retrouvait souvent au second plan », a expliqué M. Calvert, qui a passé près de deux décennies à développer des centres opérationnels pour de grandes entreprises, dont IBM, Shell Oil, Sony, et Walmart. Celui-ci a constaté que les équipes de sécurité étaient généralement bruyantes et pouvaient avoir des discussions animées pour peaufiner leur stratégie de lutte contre « les méchants ». Inversement, les équipes des centres opérationnels réseau étaient plus silencieuses et se concentraient davantage sur les signaux verts et rouges qui s’affichent à l'écran.

Selon Johna Till Johnson, CEO et fondatrice de Nemertes Research, si les entreprises décident de séparer l'équipe de sécurité, elles doivent également tenir compte de la chaîne des responsabilités. D'après une enquête effectuée par Nemertes auprès de 625 entreprises ayant trouvé un mode d’organisation satisfaisant, celles affichant les résultats opérationnels de sécurité les plus efficaces sont celles où le RSSI relève du CEO, du CFO ou du directeur exécutif, et non du DSI. « Le travail du RSSI consiste à traduire avec précision les risques techniques en risques juridiques », a expliqué Mme Johnson. La communication peut devenir confuse quand « le DSI est chargé de développer la technologie et quand le RSSI est chargé de décider si le risque en vaut la peine ».

C'est aussi l’avis de Tim Callahan. Lui-même est directement rattaché au directeur juridique, qui relève à son tour du directeur exécutif. « Cette hiérarchie est très importante », a-t-il déclaré. « Le DSI et moi-même sommes des partenaires, et notre relation n’est pas une relation de subordination ». « La cohabitation ne fonctionne peut-être pas, mais la communication fonctionne », a déclaré pour sa part Chris Calvert. « Les directeurs IT et les responsables de la sécurité doivent donner l’exemple pour favoriser une relation de travail étroite de leurs équipes, car s'ils ne s'entendent pas, leurs équipes ne s'entendront pas non plus », a-t-il ajouté. Le fait que la sécurité se soit taillée une place hors de l’IT permet également à M. Callahan de défendre son propre budget avec plus de force, favorisant un meilleur financement de la transformation digitale et le renouvellement de la technologie.

Pourquoi intégrer les équipes réseau et sécurité ?

Ed Rodden, DSI du groupe mondial de l’agro-alimentaire SugarCreek, explique que les technologies comme les réseaux définis par logiciel estompent tellement les frontières entre la sécurité et les réseaux que les entreprises seraient mal servies par des équipes séparées. Une équipe de 20 personnes s'occupe de tous les besoins en infrastructure - réseau, stockage et sécurité - de l'entreprise familiale de 800 millions de dollars en forte croissance. M. Rodden vante la virtualisation, notamment la plate-forme NSX SDN de VMware dans le datacenter, qui permet d’assurer un contrôle du réseau et de la sécurité dans le même logiciel, et favorise le fonctionnement d’un environnement unifié. « Ce serait un cauchemar si l’on devait gérer une telle technologie avec des équipes disparates », a-t-il affirmé.

Le contexte bruyant évoqué par M. Calvert est effectivement celui que l’on retrouve chez SugarCreek. Néanmoins, l’entreprise se classe parmi les quatre premiers leaders IT. « Nous nous enfermons régulièrement dans une pièce et nous examinons méthodiquement tous les points d’interface du réseau pour passer finement en revue notre dispositif de sécurité », a déclaré M. Rodden. « Ce qui nous oblige à parvenir à un consensus sur la sécurité et le réseau ». La vitesse à laquelle les dirigeants veulent faire évoluer l’entreprise joue également dans la volonté de M. Rodden de ne pas avoir d’équipes séparées. « Nous pouvons recevoir un mail nous informant que l'entreprise a fait l'acquisition d'un bâtiment pour abriter ses opérations et que nous avons deux mois pour mettre en place un réseau sans fil et une infrastructure, ce qui laisse peu de temps pour la bureaucratie, incontournable quand les personnes ont des responsabilités distinctes », a-t-il déclaré.

Combler le fossé entre réseaux et sécurité

« Quand les membres de l'équipe de sécurité sont dans leur bulle, ils ne comprennent pas comment les choses sont construites et, par conséquent, ils ne savent pas comment mieux les sécuriser », a expliqué de son côté Jacob Lehmann, directeur général de Friedman CyZen, un consultant en cybersécurité. Ce dernier ajoute qu'à mesure que les entreprises s’installent dans le cloud, elles auront besoin d’un réseau et d’une sécurité bien intégrés pour pouvoir établir des politiques claires et les appliquer. « La migration dans le cloud ne permet pas d'atténuer le risque. Souvent, cela peut même les augmenter », a encore expliqué M. Lehmann, ajoutant que les équipes doivent être en mesure de quantifier ce risque avant de prendre une décision. « Quand le risque est bien compris par tout le monde, il est plus facile d’établir les priorités ».

Les entreprises qui séparent leurs équipes réseaux et sécurité peuvent encore les faire bien travailler ensemble en misant sur l'éducation et la formation. « L’équipe de sécurité peut organiser des formations sur le codage sécurisé, des déjeuners pour expliquer les principes de base de la sécurité, et plus encore », a déclaré M. Johnson. Cela permet aux équipes de sécurité de partager leur expertise. De plus, quand les deux équipes auront besoin d'aide, elles se connaîtront déjà. Selon M. Calvert, l’équipe de sécurité a aussi des choses à apprendre des équipes réseau, notamment des principes comme l’ITIL (« Information Technology Infrastructure Library » ou « Bibliothèque pour l'infrastructure des technologies de l'information ») : « Apprendre le langage du réseau apporte de la valeur en matière de sécurité ».