Comment j'ai appris à ne plus m'en faire et à aimer la conformité
Dans le monde actuel, la conformité est essentielle. Les entreprises se doivent de préserver la confiance de leurs clients et d'acquérir une réputation de fiabilité. Or, ces obligations non négociables sont inextricablement liées aux normes de cybersécurité. Nous savons toutefois probablement tous d'expérience que la conformité n'est pas le programme le plus facile à élaborer et à gérer. En tant que responsables de la sécurité, nous devons connaître la marche à suivre pour respecter un ensemble toujours plus vaste de réglementations, de lois et de normes, dont la plupart nous paraissent incongrues. Du fait de cette complexité, les tâches visant à mettre en œuvre, à gérer et à démontrer la conformité de notre entreprise sont souvent perçues comme un fardeau.
Cloudflare consacre des ressources considérables à la compréhension des exigences en matière de conformité, à la mise en place de procédures et de mesures de contrôle adéquates de la sécurité, à la surveillance des évolutions au sein de notre environnement et à la réalisation d'évaluations ayant pour but d'apporter la preuve de notre conformité. Plus tôt dans ma carrière, j'aurais considéré tous ces efforts comme une véritable épreuve. Toutefois, après 20 années passées dans le secteur de la cybersécurité, je prends enfin les choses avec plus de légèreté et j'ai appris à aimer la conformité pour ce qu'elle nous permet d'accomplir collectivement, sans m'attarder sur ce qu'elle nous retire.
Image source: Docteur Folamour, ou : Comment j'ai appris à ne plus m'en faire et à aimer la bombe.
Instaurer la conformité avec une solution de sécurité fondée sur les résultats
Le fait que personne n'ait pris la pleine mesure des menaces envers la cybersécurité pendant une longue période a engendré un monde dans lequel il semble normal de dépendre de technologies fondamentalement non sécurisées. La rapidité et les coûts ont trop longtemps eu plus de poids que les valeurs que constituent la sécurité et la confidentialité. Cet état de fait résultait d'un manque de stratégie, d'un manque de gestion, d'un manque de capacités, mais surtout d'un manque d'imagination.
Au sein du département de la Défense et de la National Security Agency aux États-Unis, nous nous sommes fortement concentrés sur la « mission » qui, pour beaucoup, représente une méthode de résolution des problèmes critiques fondée sur les résultats. Cela implique à tort un désintérêt pour la conformité au profit d'un assaut généralisé. D'après mon expérience, cela n'a jamais été le cas. Les résultats et la conformité ont toujours évolué de concert pour conduire à une réduction du risque opérationnel, tout en favorisant la réflexion et la créativité.
En tant que responsables de la cybersécurité, nous avons la responsabilité d'élaborer une politique et une stratégie homogènes, qui s'imposent comme un point de départ fondamental à l'amélioration de la sécurité, à l'instauration de la confiance et à l'établissement de nouvelles relations. En adoptant cette démarche, nous pouvons appliquer des solutions axées sur la réalisation de missions afin de protéger les données des utilisateurs, de sécuriser la propriété intellectuelle, d'éviter les vols de ressources financières et, dans certains cas, de prévenir les dommages matériels.
S'appuyer sur la conformité pour renforcer la sécurité
Il est aussi difficile de gagner la confiance qu'il est facile de la perdre. Tout manquement au respect des réglementations peut donner lieu à des amendes, certes, mais c'est dans la confiance des clients et des partenaires qu'il y a le plus à perdre.
Nous savons tous que les exigences en matière de conformité prennent souvent la forme de séries de cases à cocher plutôt que d'un véritable plan de réduction des risques opérationnels. C'est pourquoi j'envisage la pratique de la cybersécurité au sein de domaines fortement réglementés et fortement spécialisés (le secteur de la santé, le secteur des services financiers et le secteur de la sécurité nationale, par exemple) comme un plan d'action majeur pour nous tous. Les entreprises qui officient dans ces secteurs ne se contentent pas de cocher des cases : elles vont volontairement plus loin que ce que les réglementations exigent d'elles.
Notre travail autour de la sécurité commence par notre mise en conformité avec les normes. En tant qu'outil, la conformité me permet d'exprimer notre travail, d'observer la situation globale et de déterminer en qui nous pouvons avoir confiance avant d'entreprendre la lourde tâche consistant à éliminer les menaces. On entend souvent dire que les rapports des SOC ou les certificats ISO sont conçus pour empêcher les violations. Or, ces dernières continuent de se produire. Pourquoi ? Parce que la conformité aux cadres et aux normes nous permet uniquement d'être plus rapidement informés d'un incident. Le respect de la conformité ne constitue en aucun cas un moyen de prévenir les incidents ou l'exposition pour les entreprises ou les équipes. Cette approche nécessite l'adoption d'une démarche beaucoup plus exhaustive de la cybersécurité, une stratégie fondée sur des mesures de contrôle techniques.
Chez Cloudflare, nous respectons les règlementations et normes essentielles, et nous avons obtenu un nombre important de certifications. Nous adhérons à la conformité pour toutes les opportunités qu'elle peut apporter. Toutefois, nous allons encore plus loin. Nous maintenons le cap sur notre mission qui est de bâtir un Internet meilleur et plus sécurisé. Nous allons au-delà de la conformité en mettant en œuvre des fonctionnalités avancées en matière de sécurité, qui garantiront celle de notre entreprise, de nos partenaires et de nos clients. Le réseau Cloudflare a été conçu pour vous aider, vous et vos clients, à bénéficier d'une meilleure sécurité sur Internet. Apprenez-en davantage sur les certifications qui nous aident à préserver cette dernière.
Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions susceptibles d'affecter les décideurs en matière de technologies d'aujourd'hui.
Auteur
Oren Falkowitz — @orenfalkowitz
Ancien Field CSO, Cloudflare
Points clés
Cet article vous permettra de comprendre les points suivants :
Comment envisager la conformité comme un facilitateur, et non comme un fardeau
Les infrastructures et les normes ne permettront jamais d'éliminer les incidents ou l'exposition aux risques
Le déploiement d'une solution de sécurité avancée, au-delà de la conformité de base, garantira la sécurité de votre entreprise, vos partenaires et vos clients.