CISO

La sécurité silencieuse, garante de l’expérience utilisateur

Share this post:

Les impératifs de sécurité et d’expérience utilisateur sont parfois difficiles à concilier. Cependant, le recours à une protection silencieuse, telle celle apportée par l’approche ZeroTrust, permet de maximiser le niveau de sécurité, tout en préservant –voire en améliorant – l’expérience utilisateur.

Le rôle d’un RSSI (Responsable de la Sécurité des Systèmes d’Information) est de protéger l’entreprise des cyber-menaces en réduisant le risque numérique, mais sans alourdir l’expérience utilisateur avec des procédures trop contraignantes et complexes. En voulant aller trop loin, les utilisateurs légitimes du système d’information (SI) pourraient en effet se sentir entravés, alors même que les mesures mises en place ne protégeraient pas vraiment l’entreprise de ceux qui cherchent à lui nuire. L’action du RSSI serait alors vue comme un frein et non une protection.

 

Accorder la même confiance à tous

Au premier regard, nous pourrions penser que l’approche Zero Trust consiste à ne faire confiance à personne. C’est en fait l’inverse : la confiance est donnée à tous, sans distinction, mais avec une supervision discrète et permanente de l’usage qui est fait des applications et des données du SI.C’est donc une confiance généralisée, mais accordée différemment en fonction des contextes. Beaucoup d’entreprises verrouillent strictement tous les accès depuis l’extérieur de leurs locaux. Ce n’est pas une stratégie viable. Pourquoi ?

Selon IBM, la menace interne (utilisateur négligeant voire malintentionné) participe à 60% des attaques et sera donc difficilement détectable avec une approche uniquement périmétrique. Et se connecter à distance, par exemple en télétravail, peut tout à fait être légitime.Avoir montré patte blanche ne prouve pas que l’utilisateur est fiable et digne de confiance. Avec le Zero Trust, des techniques de Machine Learning vont étudier le comportement des utilisateurs et protéger ce qui a besoin de l’être : est-il logique qu’un employé se connecte depuis l’extérieur, alors qu’il ne le fait habituellement jamais ? Est-il normal qu’il se connecte à certaines heures ou depuis certains pays ? Est-il légitime qu’il cherche à consulter certaines données ? Autant d’éléments permettant de détecter des anomalies sans freiner l’ensemble des utilisateurs.

 

Protéger ce qui doit l’être : la donnée

Il est primordial de savoir mettre en sécurité ce qui est le plus volé, convoité, bloqué ou détruit : la donnée. Peu importe finalement qu’un pirate soit connecté au SI et s’y balade librement, s’il ne peut pas se servir des données de l’entreprise. Le ZeroTrust se charge donc de protéger la donnée, suivant sa criticité et l’usage qui en est fait et par qui. L’idée n’est pas de chercher à tout prix à bloquer l’accès aux informations, mais d’établir une sécurité pilotée par la donnée en surveillant intelligemment les utilisateurs qui en font usage.

Prenons l’exemple d’un développeur. Dans le cadre de ses activités, il est susceptible d’accéder à des données sensibles. Il est normal en effet qu’il lance des requêtes sur des bases de données afin de tester ses applications. Mais si son comportement commence à changer, une alerte sera remontée : requêtes devenant trop massives, tentative d’accéder à des données sans rapport avec le projet en cours, etc.

 

Une sécurité qui préserve l’expérience utilisateur

En mode Zero Trust, se connecter aux applications si on en a le droit est très facile. Mais cela n’empêche en rien le contrôle car une fois dans le système, une supervision discrète et permanente continuera d’évaluer le comportement de chacun et la menace qu’il fait potentiellement peser sur l’entreprise pour prendre si besoin les mesures de protection nécessaires. Cette sécurité silencieuse permet d’améliorer l’expérience utilisateur, elle en est même la garante.

Imaginons le cas d’une enseigne voulant mettre en place un portail de vente en ligne de chaussures de sport. Le site est connecté au SI de l’entreprise, afin de faire remonter les commandes, de consulter l’état des stocks, de gérer les livraisons…Il est également connecté aux boutiques physiques, afin de permettre de faire du «phygital» (commande en ligne, retrait en magasin). Les clients s’y connectent pour commander des produits et gérer leur profil. Les fournisseurs peuvent s’y connecter pour consulter l’état des stocks et prévoir les futurs approvisionnements. Enfin, les employés s’en servent au quotidien pour accomplir leurs tâches.

Du point de vue de la sécurité, les points d’entrée dans ce système sont nombreux et donc difficiles à tous protéger. Avec des méthodes classiques, le commerçant devra parfois faire des concessions. Par exemple, limiter les accès de ses fournisseurs au système, ne pas répondre aussi rapidement que souhaité aux besoins des employés en matière de nouveaux services ou d’usage en mobilité, questionner tous les clients de la même manière pour assurer la sécurité de leur usage. À la clé, une expérience utilisateur dégradée.

 

Une expérience utilisateur préservée

Le Zero Trust améliore la sécurité d’un tel système sans détériorer l’expérience utilisateur. En effet, les mesures de sécurité y sont actives mais non intrusives. Elles sont basées sur des techniques qui permettent d’ouvrir un système en maitrisant le risque numérique inhérent à toute transformation digitale. Finalement, nous retrouvons les deux faces d’une même pièce. La sécurité silencieuse Zero Trust favorise l’expérience utilisateur mais l’expérience utilisateur sera difficile à assurer sans sécurité silencieuse.

En facilitant l’accès aux services et aux données, la sécurité silencieuse favorise l’engagement client et la productivité des collaborateurs. Clairement, la sécurité permet la confiance numérique.

Directeur Business Development – IBM Security France

More CISO stories
26 février 2024

L’importance d’une culture DevOps au sein d’une entreprise

DevOps ne concerne pas uniquement les phases d’intégration et de déploiement d’application et l’automatisation de celles-ci mais tout le cycle de vie d’une application.   DevOps ? Kezako ? Pourquoi ? Historiquement, les équipes de développement et opérations étaient organisées en silo, chacune travaillant uniquement sur leur scope avec une communication limitée. Avec l’arrivée de […]

Continue reading

15 février 2024

L’Intelligence Artificielle et l’Analytique avancée dans les systèmes de santé français (Partie 1)

Dans le paysage complexe de la Santé, les systèmes médicaux du monde entier sont confrontés à une multitude de défis. Ceux-ci vont de la gestion délicate des maladies chroniques jusqu’à la quête d’accès égaux aux services de santé. Dans ce contexte spécifique, l’émergence de l’Analytique avancée et de l’Intelligence Artificielle (IA) joue un rôle de […]

Continue reading

8 février 2024

De la donnée au passage à l’échelle de l’intelligence artificielle générative !

Notre monde est de plus en plus axé sur la donnée. Sa gestion en devient cruciale pour assurer la réussite des transformations des organisations actuelles. Cette année 2023 aura été pour moi un approfondissement des sujets d’architecture autour de la gestion de cette donnée. Je souhaitais partager mes sujets de réflexion pour les semaines à […]

Continue reading