La collaboration des CIO et des CISO : un atout essentiel pour réussir dans la nouvelle ère du cloud

Avec l'adoption rapide des environnements informatiques multicloud et le passage à des effectifs hybrides, c'est une nouvelle dynamique qui s'impose aux responsables, et celle-ci implique une alliance plus étroite entre les CIO et les CISO. 

En unissant leurs forces, les CIO et les CISO peuvent trouver un meilleur équilibre entre innovations technologiques et atténuation des risques. La migration vers le cloud, en particulier vers des environnements multicloud plus complexes, peut se faire avec plus de rapidité et d'efficacité. Les équipes DevSecOps peuvent réduire les risques liés à l'intégration de nouvelles applications logicielles. En collaborant de manière plus étroite, les CISO et les CIO peuvent évaluer ensemble les problématiques opérationnelles et les risques de sécurité lors de l'arrivée de nouvelles technologies.

Toutefois, pour réussir en la matière, il faut que les deux responsables s'accordent sur un agenda d'objectifs communs. Par exemple, un CIO doit faire en sorte d'intégrer l'aspect "sécurité" dans tous les nouveaux investissements technologiques, tandis qu'un CISO ne peut pas laisser la crainte des risques ralentir le rythme de la transformation numérique. Pour de nombreuses organisations, c'est un équilibre délicat à trouver, mais elles n'y parviendront que si elles comprennent que l'innovation et la sécurité sont inextricablement liées. 

"Nous devons avancer sur un champ de mines", déclare Tressa Springmann, CIO de LifeBridge Health, organisation de santé à but non lucratif. Rick Miller, CISO de LifeBridge, abonde en ce sens : "En général, nous parcourons chacun la moitié du chemin pour trouver le bon équilibre entre sécurité et opérations."

Découvrez comment une compagnie mondiale de télécom a obtenu un retour sur investissement de 283 % avec Elastic.

Faire des compromis intelligents

Chez LifeBridge, qui emploie plus de 12 000 personnes et opère dans six hôpitaux de Baltimore, Maryland, et ses alentours, les investissements réalisés dans les nouvelles technologies de l'information, comme les dossiers de santé électroniques, les outils de télémédecine virtuels et les solutions de diagnostic génomique, s'accompagnent de risques de sécurité supplémentaires. La cybersécurité dans le domaine de la santé fait partie des problématiques qui ne sont pas prises à la légère, car des cyberattaques ont déjà paralysé des réseaux d'hôpitaux et pénalisé les soins apportés aux patients. Plus de 40 millions de dossiers de santé se sont retrouvés exposés au grand jour suite à des fuites de données l'année dernière, d'après les rapports fédéraux. 

Comment les leaders technologiques gèrent-ils l'augmentation des menaces ?

Malgré les risques, "les budgets dans le domaine de la santé ne prévoient pas forcément d'investir dans les outils onéreux nécessaires à la protection des données", indique Rick Miller. 

De ce fait, il faut parfois faire de rudes compromis. Lorsque Rick Miller a proposé de segmenter le réseau informatique d'un hôpital pour réduire les risques d'infraction, il est apparu évident que la modification aurait un prix et impliquerait un support informatique plus conséquent. Tressa Springmann a demandé à Rick Miller de fournir plus de données sur le projet afin de justifier les dépenses. "Lorsque les CISO et les CIO travaillent main dans la main pour veiller à ce que l'économie d'une organisation fonctionne bien plutôt que de se tirer dans les pattes, ils peuvent générer une valeur considérable", indique Rick Miller.

Dans un autre cas, Tressa Springmann et Rick Miller ont collaboré pour évaluer les systèmes informatiques d'une entreprise acquise récemment. Tressa Springmann était responsable d'étudier le matériel et les logiciels de l'entreprise acquise, tandis que Rick Miller avait pour mission d'effectuer une évaluation des risques de sécurité. Or, plutôt que d'entrer dans le processus conflictuel habituel que l'on retrouve dans les autres entreprises, Tressa Springmann et Rick Miller ont mis leurs efforts en commun pour s'assurer que l'achat avançait et que les risques étaient atténués. 

"Cela nous a permis d'avoir une vue holistique sur l'acquisition", indique Tressa Springmann. Ce à quoi Rick Miller ajoute : "La sécurité est un aspect intégré dans tout ce que nous faisons à LifeBridge Health."

Découvrir les bénéfices des DevSecOps

Les DevSecOps sont une pratique d'entreprise qui consiste à partager la responsabilité de la sécurité entre les équipes de développement, de sécurité et d'opérations informatiques lors de la création d'applications logicielles. La mise en place de cette pratique constitue logiquement un moyen de renforcer les relations entre les CIO et les CISO. Pour ces deux rôles, le fait de s'assurer que les logiciels sont capables de résister aux cyberattaques est aussi important que de les installer et de les faire fonctionner correctement. 

Les DevSecOps sont une pratique en pleine expansion, d'après les données d'une étude de 451 Research, filiale du groupe S&P Global Market Intelligence. Cette étude a en effet révélé que 48 % des équipes de développement utilisaient des outils de sécurité des applications en 2020, contre seulement 29 % en 2015.

"Imaginez les bénéfices potentiels si ces équipes et processus collaboraient davantage", affirme Gagan Singh, vice-président du marketing produit chez Elastic. "Les données d'observabilité fourniraient davantage de contexte aux équipes de sécurité pour qu'elles puissent détecter les menaces et y répondre plus rapidement. En parallèle, les développeurs qui s'y connaissant en technologies de sécurité pourraient réduire les frictions au niveau du développement en appliquant une approche sécurisée dès le départ."

Migrer vers le cloud 

La migration vers le cloud est un autre domaine dans lequel une relation étroite entre CIO et CISO apportent de multiples bénéfices. Le cloud offre une valeur substantielle dans la façon dont les organisations utilisent et partagent les informations. Il change aussi la nature des cyberrisques. Et c'est d'autant plus vrai lorsqu'il s'agit d'environnements multicloud, qui peuvent réduire certains niveaux de menaces tout en ajoutant à la lourde tâche qu'implique le monitoring l'ensemble des événements qui se produisent dans le cloud et le suivi de plusieurs contrôles et permissions.

Même si une collaboration plus étroite entre CIO et CISO est profitable aux entreprises, les deux rôles continuent d'avoir des priorités et des responsabilités distinctes. Il est donc primordial que ces deux fonctions communiquent régulièrement. Par exemple, Tressa Springmann et Rick Miller organisent une réunion toutes les deux semaines. Ils échangent des messages ou s'appellent pratiquement tous les jours.

"Une grande partie de [notre partenariat] repose sur la communication et la relation personnelle. Si vous ne privilégiez pas ces deux aspects, les choses peuvent dérailler", indique Mark Settle, ancien CIO et auteur du livre Truth from the Valley. "Les personnes qui réussissent à bien communiquer et à anticiper les problèmes et les besoins des autres peuvent éviter la plupart des désaccords qui ont généralement lieu entre ces deux groupes."

Une collaboration renforcée entre le CIO et le CISO est essentielle pour les entreprises qui veulent booster l'innovation technologique tout en réduisant les risques de sécurité. Ce mélange des rôles peut être difficile, mais en définissant des objectifs communs, en s'engageant à communiquer et en bénéficiant du soutien de l'entreprise, le CIO et le CISO peuvent veiller à ce que cette dernière accomplisse sa transformation numérique en toute sécurité.