Cet article a été initialement publié sur LinkedIn
Si les crises les mieux gérées sont sans doute celles que l’on évite, certaines plongent dramatiquement des entreprises et des pays dans la tourmente. La pandémie mondiale actuelle me rappelle l’expression selon laquelle il ne faut « jamais gâcher une bonne crise ».
En effet, la crise actuelle est un moteur de changement. Au début de la pandémie, Fortune a interrogé les PDG du classement Fortune 500, et les trois quarts d’entre eux ont déclaré que la COVID-19 allait accélérer la transformation technologique de leur entreprise.
Si une transformation aussi radicale de l’entreprise doit se produire, ce seront les responsables de la sécurité des informations (RSSI) qui la mèneront. Cette crise offre aux RSSI l’occasion de tirer parti de l’élan de transformation, mais à la condition qu’ils abandonnent l’ancien mode de pensée. Les RSSI et leurs équipes de sécurité doivent cesser d’essayer d’adapter les réseaux et les modèles de sécurité traditionnels à un monde des affaires en évolution, et admettre que la sécurité est un moteur de stratégie.
Avant la crise
À mesure que l’infrastructure et les applications se sont « décentralisées » vers le cloud, les entreprises informatiques progressistes ont commencé à abandonner leurs architectures de sécurité cloisonnées basées sur le périmètre, obsolètes et vulnérables, qui visaient à protéger les données sur site contre les menaces extérieures. Elles abandonnent, en même temps, des modèles de réseau en étoile tout aussi archaïques qui effectuent le backhauling le trafic d’entreprise via le data center. La vision : un modèle de services basé sur le cloud, avec une connectivité directe aux applications et aux ressources internes.
La crise actuelle constitue un test décisif pour l’engagement en faveur de la migration vers le cloud : les entreprises bien engagées dans la transformation de leur réseau et de leur sécurité s’en sortent mieux que celles qui ont remis ces refontes majeures à plus tard.
La crise est un perturbateur
L’étymologie du mot « crise » inclut les notions de « jugement » (perception du risque, de son imminence et de son impact) et de « décision » (réactions au changement et stratégies pour y adhérer). Il s’agit d’évaluer les risques encourus, puis de décider des mesures à prendre. La « douleur » de la crise découle d’une incapacité à prendre les mesures nécessaires sur la base de ces jugements et décisions.
La gestion de crise est une composante essentielle de la stratégie d’entreprise. Au cours de la dernière décennie, avec la transition massive des entreprises vers des modèles en ligne, la gestion des crises s’est concentrée sur la sécurité informatique plutôt que sur les implications physiques. La crise sanitaire sans précédent de la COVID-19 s’est déclarée alors que de nombreuses entreprises étaient sur le point de déployer de nouvelles architectures de sécurité et de réseau. L’ampleur de la douleur causée par la crise à chaque entreprise dépendait souvent de la maturité de son processus de transformation.
Actuellement, de nombreux employés ne peuvent pas retourner au bureau. Ces mêmes employés doivent remplir des fonctions vitales pour l’entreprise, où qu’ils se trouvent. Comment connecter en toute sécurité les collaborateurs distants aux ressources basées sur le cloud et sur site ?
Dans le monde traditionnel de la sécurité basée sur le périmètre, les VPN seraient la seule option. Mais les VPN ne peuvent pas évoluer facilement (ou à moindre coût) pour s’adapter à une croissance spectaculaire du volume de trafic. Pire encore, les VPN présentent également des risques de sécurité plus élevés : comment sécuriser le périmètre d’un réseau d’entreprise qui englobe désormais l’intégralité d’Internet ? La connexion des utilisateurs au réseau d’entreprise à partir de terminaux non gérés expose les chemins d’accès au réseau, permet une communication non gérée du trafic est/ouest à travers le réseau, nécessite une définition complexe des politiques, limite la surveillance globale, procure de mauvaises expériences utilisateur et crée des problèmes d’architecture.
Dans le monde moderne, où les données ne sont pas toujours (ni même souvent) hébergées dans le data center, effectuer le backhauling du trafic Internet à travers le réseau de l’entreprise, puis le renvoyer vers le cloud, n’a plus de sens. C’est inefficace et coûteux. Le trafic doit emprunter le chemin le plus facile, aller directement vers le cloud et offrir une expérience rapide et homogène.
En tant que telle, la pandémie a causé plus de « douleurs de crise » aux entreprises qui s’accrochaient à des architectures de sécurité et de réseau traditionnelles qu’à celles qui étaient bien engagées dans leur parcours de transformation digitale. Selon notre étymologie de la crise, les entreprises qui ont réalisé leur transformation digitale pourraient porter un jugement sur les ramifications commerciales des crises, puis décider de manière flexible des réponses à apporter Elles pourraient faciliter des expériences de télétravail avec peu ou pas d’impact sur l’efficacité du travail. D’autres entreprises, moins matures, ont éprouvé des difficultés. Pour permettre l’accès à distance, elles ont été contraintes d’improviser, puis de se tourner vers (ce qui était pour elles) de nouvelles architectures de réseau et de sécurité, des changements qui se sont accompagnés de coûts élevés et d’impacts sur la productivité.
Ne vous laissez pas perturber par la crise
Les services cloud font désormais tellement partie intégrante de la stratégie, des opérations et de la productivité des entreprises que leur utilisation efficace influence les performances et le rendement de l’entreprise. La pandémie a démontré que les entreprises doivent réagir rapidement à des changements radicaux. Et les entreprises qui exploitent le cloud sont plus agiles que celles qui ne l’utilisent pas.
Il n’est pas facile de prédire l’avenir. Le télétravail à l’échelle de l’entreprise est-il appelé à durer ? Les bureaux physiques sont-ils en voie de disparition ? Peut-être, peut-être pas. Mais l’avenir sera différent : le télétravail (sous quelque forme que ce soit) n’est pas près de disparaître, et les RSSI doivent s’y préparer dans le cadre de leurs stratégies commerciales futures. Les RSSI doivent-ils s’efforcer d’apporter des améliorations progressives aux systèmes en place pour qu’ils continuent à fonctionner en vase clos ? Ou devraient-ils adopter de nouveaux modèles commerciaux qui permettent la transformation du réseau ? (Indice : c’est la seconde solution).
Le changement peut être difficile. Mais le moment est venu de repenser l’infrastructure du réseau. Pour certains, la « transformation digitale » n’était peut-être rien de plus qu’une expression à la mode avant la pandémie. Mais c’est désormais une mission et une voie à suivre pour amorcer l’agilité de l’entreprise. Les architectures de réseau et de sécurité doivent disposer de la flexibilité nécessaire pour s’adapter, et cela rapidement, aux changements à l’échelle de l’entreprise afin que celle-ci reste fonctionnelle. Et cela implique une décentralisation des ressources réseau et une migration vers le cloud.
Les architectures Secure Access Service Edge (SASE) et Zero-Trust Network Access (ZTNA) représentent l’avenir de l’agilité et de la résilience architecturales des entreprises. Je travaille pour une société qui aide les entreprises à utiliser le nouveau modèle basé sur le cloud tel qu’il a été conçu : en tant qu’infrastructure décentralisée génératrice de croissance et de productivité. La pandémie a mis tout le monde à l’épreuve, mais nous ne pouvons pas la « gâcher ». Les RSSI d’aujourd’hui doivent tirer les leçons de la crise actuelle et s’orienter vers la transformation. Faute de quoi, ils prendront encore plus de retard et seront encore moins bien préparés la prochaine fois qu’une situation difficile surviendra.
Votre entreprise va-t-elle être perturbée par la prochaine crise ?