La gestion des technologies d’entreprise a connu des changements radicaux ces dernières années. La transformation numérique et le passage au cloud ont élargi la définition d’un actif technologique et ont augmenté de façon exponentielle le nombre d’actifs technologiques d’entreprise sous gestion. Puis est arrivée la pandémie, qui a poussé les travailleurs à migrer des hubs vers des bureaux à domicile distribués. Du jour au lendemain, les processus de gestion technologique sont devenus infiniment plus complexes et plus exigeants sur le plan logistique.
Alors que les processus métier liés aux actifs – de l’intégration et du départ des travailleurs aux audits informatiques en passant par le SaaS et la gestion du matériel – deviennent encore plus nombreux. interfonctionnelle et critique pour l’entreprisele moyen d’atténuer les risques liés aux actifs technologiques est d’aligner toutes les parties prenantes concernées grâce à une meilleure gouvernance des actifs. Et quelle meilleure façon d’y parvenir que de fournir une meilleure visibilité et un meilleur contrôle sur la façon dont la technologie de l’entreprise est gérée ?
Aujourd’hui, la plupart des entreprises gèrent un portefeuille diversifié d’actifs matériels, logiciels, réseaux et cloud au sein d’une main-d’œuvre hautement répartie. En actualisant les processus de gestion des technologies d’entreprise obsolètes ou défaillants, les équipes de sécurité peuvent accroître leur efficacité, réduire les cyber-risques (autrement évitables) et aligner leurs processus métier pour refléter l’état interfonctionnel et imbriqué des opérations commerciales.
Comment mettre en œuvre une saine gestion de la technologie
La première étape de la mise à jour et de l’automatisation des processus métier liés à la technologie consiste à créer et à alimenter une source unique de vérité – une base de données technologique centralisée qui extrait les données des sources de données liées aux actifs – systèmes de gestion des appareils, systèmes de sécurité, systèmes de gestion des identités, systèmes d’approvisionnement, etc. ., puis les agrège, les normalise et les met à jour en conséquence.
Bien que simple en théorie, la consolidation et la normalisation des données technologiques résidant dans plusieurs bases de données spécifiques aux parties prenantes constituent une entreprise majeure. Pour bien faire les choses, il faut un changement culturel et organisationnel, et la sécurité doit interagir et s’intégrer de nouvelles manières avec les autres groupes informatiques.
Et comme peuvent en témoigner des responsables chevronnés de la sécurité, le changement, même lorsqu’il est nécessaire, n’est pas toujours facile. Si l’essor rapide du rôle de RSSI reflète à quel point la sécurité est devenue alignée et intégrée dans l’entreprise, la sécurité n’est pas gérée en vase clos.
La sécurité contrôle peut-être les politiques définies, mais les équipes informatiques se chargent de la mise en œuvre. Et comme la gestion de la surface d’attaque implique généralement la gestion d’un volume élevé d’alertes et de demandes de changement, les équipes de sécurité, déjà submergées par la charge de travail, transmettent les demandes de changement à l’équipe informatique, qui n’apprécie pas la mesure dans laquelle les tâches liées à la sécurité augmentent leur charge de travail. C’est exactement la même dynamique qui crée tant de frictions entre les équipes DevOps et de sécurité : même énigme, cas d’utilisation différent.
Les avantages d’une base de données technologique d’entreprise unique et centralisée aident non seulement les équipes de sécurité dans leurs efforts de gestion des menaces liées aux actifs, mais leur permettent également d’interagir plus efficacement avec les opérations informatiques et les autres parties prenantes sur les processus métier fondamentaux, dont beaucoup dépendent efficacement de gérer les actifs technologiques. La centralisation de la gestion des technologies d’entreprise permettra aux équipes de sécurité de détecter les risques plus tôt, de les résoudre plus rapidement et de mieux comprendre comment ils sont apparus.
Cela peut sembler une lourde tâche, mais il existe une voie à suivre claire. Les RSSI et DSI, qui aujourd’hui collaborent plus étroitement que jamaisreconnaissent que la mise à jour des processus de gestion technologique offre la possibilité de mûrir de la gestion des risques liés aux actifs à leur réduction. Si la sécurité repose sur un outil spécialisé pour gérer les actifs technologiques à des fins de sécurité et de conformité, d’autres unités commerciales le feront également, créant des silos de données et des angles morts qui permettent aux risques liés aux actifs de survenir.
En outre, à mesure que les processus métier liés aux actifs deviennent de plus en plus interfonctionnels et critiques pour l’entreprise, il est logique que la sécurité ait une compréhension multiforme et plus contextuelle de la manière dont le risque lié aux actifs apparaît en premier lieu. La manière d’atténuer les risques liés aux actifs technologiques à mesure que ces fonctions deviennent exponentiellement plus complexe et plus risqué est d’aligner toutes les parties prenantes à travers une meilleure gouvernance des actifs. Et quelle meilleure façon d’y parvenir que de fournir une visibilité et un contrôle centralisés sur la manière dont la technologie de l’entreprise est gérée ?
Cette approche sert également à intégrer davantage la sécurité dans l’entreprise, car elle brise les silos qui sont actuellement encore en place. Net/net : la centralisation de la gestion technologique d’entreprise présente une opportunité stratégique de mettre en œuvre la gouvernance nécessaire pour mieux comprendre, gérer et, à terme, réduire les risques liés aux actifs. Après tout, mieux vaut prévenir que guérir, n’est-ce pas ?
Alors qu’attendons-nous?
Arthur Lozinski est le co-fondateur et PDG d’Oomnitza.
Articles Liés: