Comment j'ai appris à ne plus m'en faire et à aimer la conformité
Dans le monde actuel, la conformité est essentielle. Les entreprises se doivent de préserver la confiance de leurs clients et d'acquérir une réputation de fiabilité, et ces obligations sont inextricablement liées aux normes de cybersécurité. Cependant, quelles que soient les expériences que nous avons menées, la conformité n'est pas le programme le plus facile à élaborer, ni à gérer. En tant que leaders en matière de sécurité, nous avons besoin de savoir comment respecter un ensemble toujours plus vaste de réglementations, législations et normes, dont la plupart nous paraissent incongrues. En raison de cette complexité, les tâches permettant de mettre en œuvre, de gérer et de démontrer la conformité sont souvent perçues comme un fardeau.
Chez Cloudflare, nous consacrons d'importantes ressources à la compréhension des exigences en matière de conformité, à la mise en œuvre de procédures et de contrôles de sécurité adéquats, à la surveillance de l'évolution de notre environnement et à la réalisation d'évaluations dans le but de démontrer notre conformité. Plus tôt dans ma carrière, j'aurais considéré tous ces efforts comme une épreuve. Cependant, après 20 ans dans le secteur de la cybersécurité, je prends enfin les choses avec plus de légèreté et j'ai appris à aimer la conformité pour ce qu'elle nous permet d'accomplir, en tant que communauté, sans m'attarder sur ce qu'elle nous retire.
Image source: Docteur Folamour, ou : Comment j'ai appris à ne plus m'en faire et à aimer la bombe.
Instaurer la conformité avec une solution de sécurité fondée sur les résultats
Pendant très longtemps, personne n'a pris la mesure de l'ampleur de la menace liée à la cybersécurité, qui a engendré un monde dans lequel il semble normal de dépendre de technologies fondamentalement non sécurisées. La rapidité et le coût ont trop longtemps eu plus de poids que les valeurs liées à la sécurité et à la confidentialité. Cet état de fait était lié à un manque de stratégie, un manque de gestion, un manque de capacité, mais surtout, un manque d'imagination.
Au sein du département de la Défense et de la National Security Agency aux États-Unis, nous nous sommes fortement concentrés sur la « mission » qui, pour beaucoup, représente une méthode de résolution des problèmes critiques fondée sur les résultats. Cela implique à tort un désintérêt pour la conformité au profit d'un assaut généralisé. D'après mon expérience, cela n'a jamais été le cas. Les résultats et la conformité ont toujours évolué de concert pour conduire à une réduction du risque opérationnel, tout en favorisant la réflexion et la créativité.
En tant que leaders en matière de cybersécurité, nous avons la responsabilité d'élaborer une politique et une stratégie homogènes, constituant un point de départ fondateur pour l'amélioration de la sécurité, l'instauration de la confiance et l'établissement de nouvelles relations. Si nous adoptons cette démarche, nous pouvons appliquer des solutions centrées sur la mission, permettant de protéger les données des utilisateurs, de sécuriser la propriété intellectuelle, d'éviter les vols financiers et, dans certains cas, de prévenir les dommages matériels.
S'appuyer sur la conformité pour renforcer la sécurité
Il est aussi difficile de gagner la confiance qu'il est facile de la perdre. Tout manquement au respect des réglementations peut donner lieu à des amendes, certes, mais c'est dans la confiance des clients et des partenaires qu'il y a le plus à perdre.
Nous savons tous que les exigences en matière de conformité prennent souvent la forme de séries de cases à cocher, plutôt que d'une véritable réduction du risque opérationnel. C'est pourquoi j'envisage la pratique de la cybersécurité au sein de domaines fortement réglementés (et fortement spécialisés) tels que la santé, les services financiers et la sécurité nationale comme une orientation majeure pour nous tous. Dans ces domaines, les organisations ne se contentent pas de cocher des cases ; elles vont volontairement plus loin que ce qu'exigent d'elles les règlementations.
Notre travail, en matière de sécurité, commence lorsque nous avons atteint la conformité aux normes. En tant qu'outil, la conformité me permet d'exprimer notre travail, d'observer la situation globale et de déterminer en qui nous pouvons avoir confiance, avant d'entreprendre la lourde tâche consistant à éliminer les menaces. Il est souvent dit qu'un rapport SOC ou une certification ISO sont censés empêcher les violations ; pourtant, ces dernières continuent de se produire. Pourquoi ? Parce que la conformité aux infrastructures et aux normes nous permet uniquement d'être plus rapidement informés d'un incident. Il ne s'agit en aucun cas pour les entreprises ou les équipes de prévenir les incidents ou les divulgations de données. Cela nécessite d'adopter une démarche beaucoup plus exhaustive de la cybersécurité, fondée sur des contrôles techniques.
Chez Cloudflare, nous respectons les règlementations et normes essentielles, et nous avons obtenu un nombre important de certifications. Nous adhérons à la conformité pour toutes les opportunités qu'elle peut apporter. Toutefois, nous allons encore plus loin. Nous maintenons le cap sur notre mission qui est de bâtir un Internet meilleur et plus sécurisé. Nous allons au-delà de la conformité en mettant en œuvre des fonctionnalités avancées en matière de sécurité, qui garantiront celle de notre entreprise, de nos partenaires et de nos clients. Le réseau Cloudflare a été conçu pour vous aider, vous et vos clients, à bénéficier d'une meilleure sécurité sur Internet. Apprenez-en davantage sur les certifications qui nous aident à préserver cette dernière.
Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions susceptibles d'affecter les décideurs en matière de technologies d'aujourd'hui.
Auteur
Oren Falkowitz — @orenfalkowitz
Security Officer, Cloudflare
Points clés
Cet article vous permettra de comprendre les points suivants :
Comment envisager la conformité comme un facilitateur, et non comme un fardeau
Les infrastructures et les normes ne permettront jamais d'éliminer les incidents ou l'exposition aux risques
Le déploiement d'une solution de sécurité avancée, au-delà de la conformité de base, garantira la sécurité de votre entreprise, vos partenaires et vos clients.