Interview CA Technologies : les entreprises françaises face à la sécurité applicative

Dans quelle mesure les entreprises françaises appréhendent la sécurité informatique ?

Selon les résultats d’une étude mondiale commandée par l’éditeur américain CA Technologies, la dimension de contrôle joue un rôle important mais elle doit aussi susciter de nouvelles opportunités business.

77 % des entreprises interrogées escomptent une augmentation de leur chiffre d’affaires par le biais de nouveaux services inhérents à l’amélioration de la sécurité IT.

Engagé dans l’économie des applications, l’éditeur américain considère qu’il faut intégrer la sécurité IT non comme une contrainte mais comme un moyen de proposer « une expérience personnalisée au travers de leurs applications ».

Une vision qui apparaîtrait en deuxième position dans les priorités des entreprises françaises en matière de sécurité IT (41%) derrière la lutte contre les fuites de données (54 %).

Dans cette étude, l’importance de la protection des API (interfaces de programmations logicielles, en fait des connecteurs d’applications) à partager entre fournisseurs, clients et partenaires est soulignée. Car ces leviers peuvent aussi être exploités par des pirates.

D’un point de vue prospectif, les responsables IT des entreprises interrogées considèrent également que près d’un quart de leur budget IT (23 %) sera consacré à la sécurité d’ici 3 ans, contre 17 % aujourd’hui.

Principal consultant sécurité chez CA Technologies France, Nicolas Massé commente les résultats dans un entretien (échange réalisé par mail).

ITespresso.fr : « Gérer la sécurité IT et faciliter le business », ces notions sont-elles vraiment conciliables ?

Nicolas Massé : Absolument, ces deux notions sont tout à fait conciliables et pour l’illustrer, j’utiliserais une expression utilisée aux Etats-Unis. Ils disent qu’avec la transformation numérique, les entreprises doivent passer d’un modèle de « Security of the NO » (référant au contrôle et à la restriction des accès utilisateurs), vers un modèle de « Security of the KNOW » (faisant référence à la nécessité de mieux connaître le contexte d’utilisation de ses services par ces mêmes utilisateurs).

Si  on se réfère à l’étude : en réalité, la sécurité « en faveur du contrôle » et la sécurité permettant de « faciliter le business » ne devraient pas s’exclure mutuellement. Les facilitateurs (personnes sondées qui favorisent les technologies à même de stimuler la croissance de l’entreprise, tels que la mobilité, le cloud et les API), reconnaissent aussi le besoin grandissant de protéger les données.

On note cependant que, parmi toutes les entreprises mondiales interrogées, les françaises sont celles qui comptent le plus de partisans pour considérer la sécurité (principalement) comme un levier de facilitation du business (22% vs. 15% en moyenne en Europe). Et les entreprises françaises sont aussi celles qui comptent le moins de partisans pour utiliser la sécurité comme un outil « entièrement dédié au contrôle » (6% vs. 15% en moyenne en Europe).

Pour encore illustrer le fait que ces deux concepts sont absolument conciliables je citerais un autre concept : le « Bring Your Own Identity » (ou BYOID) qui est une méthode d’authentification par laquelle un identifiant numérique créé par un utilisateur sur un service digital (Facebook, Twitter, LinkedIn, Google+ ou Amazon) pourrait être utilisé par ce même utilisateur pour s’authentifier au sein de sa propre entreprise ou de n’importe quelle autre application web, ou réseau social, …).

Le BYOID s’appuie ainsi sur des technologies de sécurité mais dans le but de faciliter l’accès aux services par les utilisateurs. L’accès à un service sans avoir à retaper ses coordonnées  Ce mouvement est d’ailleurs porté par les départements métiers qui souhaitent offrir cette facilité aux utilisateurs. En l’occurrence, ce sont les technologies de gestion des identités et des accès qui donnent les moyens aux métiers de délivrer ce type services.

Et l’exemple peut s’appliquer à tous les services innovants déployés par les fournisseurs (applications mobiles, internet des objets, etc.). Si les métiers perçoivent la sécurité de cette façon, elle sera vue non pas comme un facteur bloquant, mais au contraire comme un levier de l’innovation.

ITespresso.fr : Comment les éditeurs et les entreprises clientes doivent intégrer la sécurité dans l’économie des applications ?

Nicolas Massé : Il faut changer notre approche traditionnelle de la sécurité. La sécurisation des applications est parfaitement compatible avec les projets d’innovation. Il faut avant tout comprendre que l’expérience utilisateur est impactée par la politique de sécurité (authentification forte, BYOID, API, etc.).

Ensuite, il faut penser la sécurité dès la genèse du projet applicatif et intégrer les fonctionnalités de sécurité dans le modèle économique.

Les métiers souhaitent avant tout améliorer l’expérience utilisateurs et dans ce contexte les technologies de gestion des identités et des accès s’inscrivent parfaitement dans cette amélioration.

Le Single-Sign-On (SSO) va ainsi dans le sens de faciliter l’accès des utilisateurs, que ce soit pour passer d’une application à une autre ou d’un laptop à une tablette de manière transparente sans avoir à se « re-connecter ». Il convient aussi d’auditer son système d’information afin d’évaluer les risques (un service d’accès à un média en ligne ne nécessite pas le même niveau de sécurité d’un service bancaire).

Enfin, les organisations auront le succès escompté dans l’économie des applications si elles trouvent le bon équilibre entre le degré d’ouverture des services vers l’extérieur et l’efficacité des contrôles d’accès.

ITespresso.fr : La sécurité est une condition sine qua non dans les environnements numériques. Dans quelle mesure la sécurité pourrait améliorer l’expérience mobile ?

Nicolas Massé : Dans un monde mobile centré sur les applications, la fidélité des clients est de plus en plus liée, non plus à la marque, mais à l’expérience que celle-ci propose et qui passe nécessairement par une application.

La priorité numéro un des entreprises est de s’adapter à cette « nouvelle normalité informatique », en développant et en fournissant des expériences utilisateurs à la hauteur d’une clientèle de plus en plus exigeante. Les modes d’utilisation des mobiles par les utilisateurs évoluent rapidement. Il faut donc veiller à ce que les bonnes pratiques de sécurité évoluent au même rythme que les utilisateurs.

Les pistes dressées dans l’étude (authentification forte, BYOID, sécurisation des API, SSO) sont autant de solutions à  même d’aider les entreprises à accompagner leurs utilisateurs dans leur consommation de services mobiles.

Mais cette étude met en relief aussi la nécessité pour les entreprises de répondre rapidement aux besoins des utilisateurs en matière de mobilité. Elles doivent donc impérativement transformer leur modèle de développement, de gestion et de sécurisation de leurs applications.

Pour ce faire, la sécurité doit être intégrée dans les projets de développement agile pour que les fonctionnalités soient testées et éprouvées. Et de la même façon la performance du SSO doit être gérée afin que l’utilisateur n’ait pas une mauvaise perception de son application mobile. On est bien dans une logique d’améliorer la sécurité des utilisateurs mobiles pour améliorer la performance.

Méthodologie : étude commandée par CA Technologies et conduite par le cabinet Vanson Bourne auprès de 1425 hauts dirigeants informatiques issus d’entreprises ayant un chiffre d’affaires supérieur ou équivalent à 500 millions de dollars, dans divers secteurs (finance, santé, grande distribution, télécoms, médias, divertissements).

L’enquête a été menée dans 6 pays européens (France, Allemagne, Italie, Espagne, Suisse et Angleterre) et sept autres pays du monde (Etats-Unis, Canada, Brésil, Australie, Chine, Inde et Japon). En Europe, l’échantillon comptait 670 responsables IT sondés. Pour accéder à des données plus complètes, cliquez ici.