CISO

La sécurité silencieuse, garante de l’expérience utilisateur

Share this post:

Les impératifs de sécurité et d’expérience utilisateur sont parfois difficiles à concilier. Cependant, le recours à une protection silencieuse, telle celle apportée par l’approche ZeroTrust, permet de maximiser le niveau de sécurité, tout en préservant –voire en améliorant – l’expérience utilisateur.

Le rôle d’un RSSI (Responsable de la Sécurité des Systèmes d’Information) est de protéger l’entreprise des cyber-menaces en réduisant le risque numérique, mais sans alourdir l’expérience utilisateur avec des procédures trop contraignantes et complexes. En voulant aller trop loin, les utilisateurs légitimes du système d’information (SI) pourraient en effet se sentir entravés, alors même que les mesures mises en place ne protégeraient pas vraiment l’entreprise de ceux qui cherchent à lui nuire. L’action du RSSI serait alors vue comme un frein et non une protection.

 

Accorder la même confiance à tous

Au premier regard, nous pourrions penser que l’approche Zero Trust consiste à ne faire confiance à personne. C’est en fait l’inverse : la confiance est donnée à tous, sans distinction, mais avec une supervision discrète et permanente de l’usage qui est fait des applications et des données du SI.C’est donc une confiance généralisée, mais accordée différemment en fonction des contextes. Beaucoup d’entreprises verrouillent strictement tous les accès depuis l’extérieur de leurs locaux. Ce n’est pas une stratégie viable. Pourquoi ?

Selon IBM, la menace interne (utilisateur négligeant voire malintentionné) participe à 60% des attaques et sera donc difficilement détectable avec une approche uniquement périmétrique. Et se connecter à distance, par exemple en télétravail, peut tout à fait être légitime.Avoir montré patte blanche ne prouve pas que l’utilisateur est fiable et digne de confiance. Avec le Zero Trust, des techniques de Machine Learning vont étudier le comportement des utilisateurs et protéger ce qui a besoin de l’être : est-il logique qu’un employé se connecte depuis l’extérieur, alors qu’il ne le fait habituellement jamais ? Est-il normal qu’il se connecte à certaines heures ou depuis certains pays ? Est-il légitime qu’il cherche à consulter certaines données ? Autant d’éléments permettant de détecter des anomalies sans freiner l’ensemble des utilisateurs.

 

Protéger ce qui doit l’être : la donnée

Il est primordial de savoir mettre en sécurité ce qui est le plus volé, convoité, bloqué ou détruit : la donnée. Peu importe finalement qu’un pirate soit connecté au SI et s’y balade librement, s’il ne peut pas se servir des données de l’entreprise. Le ZeroTrust se charge donc de protéger la donnée, suivant sa criticité et l’usage qui en est fait et par qui. L’idée n’est pas de chercher à tout prix à bloquer l’accès aux informations, mais d’établir une sécurité pilotée par la donnée en surveillant intelligemment les utilisateurs qui en font usage.

Prenons l’exemple d’un développeur. Dans le cadre de ses activités, il est susceptible d’accéder à des données sensibles. Il est normal en effet qu’il lance des requêtes sur des bases de données afin de tester ses applications. Mais si son comportement commence à changer, une alerte sera remontée : requêtes devenant trop massives, tentative d’accéder à des données sans rapport avec le projet en cours, etc.

 

Une sécurité qui préserve l’expérience utilisateur

En mode Zero Trust, se connecter aux applications si on en a le droit est très facile. Mais cela n’empêche en rien le contrôle car une fois dans le système, une supervision discrète et permanente continuera d’évaluer le comportement de chacun et la menace qu’il fait potentiellement peser sur l’entreprise pour prendre si besoin les mesures de protection nécessaires. Cette sécurité silencieuse permet d’améliorer l’expérience utilisateur, elle en est même la garante.

Imaginons le cas d’une enseigne voulant mettre en place un portail de vente en ligne de chaussures de sport. Le site est connecté au SI de l’entreprise, afin de faire remonter les commandes, de consulter l’état des stocks, de gérer les livraisons…Il est également connecté aux boutiques physiques, afin de permettre de faire du «phygital» (commande en ligne, retrait en magasin). Les clients s’y connectent pour commander des produits et gérer leur profil. Les fournisseurs peuvent s’y connecter pour consulter l’état des stocks et prévoir les futurs approvisionnements. Enfin, les employés s’en servent au quotidien pour accomplir leurs tâches.

Du point de vue de la sécurité, les points d’entrée dans ce système sont nombreux et donc difficiles à tous protéger. Avec des méthodes classiques, le commerçant devra parfois faire des concessions. Par exemple, limiter les accès de ses fournisseurs au système, ne pas répondre aussi rapidement que souhaité aux besoins des employés en matière de nouveaux services ou d’usage en mobilité, questionner tous les clients de la même manière pour assurer la sécurité de leur usage. À la clé, une expérience utilisateur dégradée.

 

Une expérience utilisateur préservée

Le Zero Trust améliore la sécurité d’un tel système sans détériorer l’expérience utilisateur. En effet, les mesures de sécurité y sont actives mais non intrusives. Elles sont basées sur des techniques qui permettent d’ouvrir un système en maitrisant le risque numérique inhérent à toute transformation digitale. Finalement, nous retrouvons les deux faces d’une même pièce. La sécurité silencieuse Zero Trust favorise l’expérience utilisateur mais l’expérience utilisateur sera difficile à assurer sans sécurité silencieuse.

En facilitant l’accès aux services et aux données, la sécurité silencieuse favorise l’engagement client et la productivité des collaborateurs. Clairement, la sécurité permet la confiance numérique.

Directeur Business Development – IBM Security France

More CISO stories
16 avril 2021

Construire, moderniser, sécuriser et opérer votre IT avec IBM IS

  Le « Move to Cloud » et l’intégration d’environnements hybrides De nouveaux rôles clés émergent pour accélérer l’innovation en entreprise tout en maîtrisant les coûts. L’usage du Cloud en entreprise représente, en effet, une opportunité extraordinaire d’innovation. Mais aussi une menace sur l’intégrité, le contrôle des données et la gestion des assets informatiques. « Le « Move to […]

Continue reading

8 avril 2021

Sécurité informatique : la victoire aime la préparation

Le président américain Dwight Eisenhower, l’un des artisans incontestés de la victoire alliée pendant la Seconde Guerre mondiale, soulignait qu’« aucune bataille n’est jamais remportée en suivant le plan, mais aucune bataille n’est jamais remportée sans en avoir un ». Lee Morrison, instructeur de sports de combat médiatisé, résume : « l’attaquant a par définition toujours un […]

Continue reading

30 mars 2021

La cyberfraude est avant tout une fraude, commise par un canal numérique

Il n’existe pas, en France, de définition juridique de la cyber fraude : pour le législateur, il s’agit d’une escroquerie –qui est, elle, définie pénalement – commise via un canal digital. Faut-il y voir un oubli ou un manquement dans la loi ? Bien au contraire ! C’est plutôt un rappel essentiel qu’une fraude reste […]

Continue reading