Adenis

Le vrai problème des DSI n’est plus la cybersécurité. C’est la complexité.

Le vrai problème des DSI n’est plus la cybersécurité. C’est la complexité.

« Pendant vingt ans, nous avons répondu à chaque nouveau risque en ajoutant une nouvelle technologie. Aujourd’hui, notre principal défi n’est plus de protéger nos systèmes d’information. C’est de réussir à les comprendre. »

Pendant longtemps, la cybersécurité était relativement simple.

Une entreprise protégeait son système d’information avec quelques briques essentielles : un pare-feu, un antivirus, une sauvegarde sérieuse et une politique de mots de passe.

Les menaces existaient déjà, mais elles étaient relativement prévisibles et les architectures restaient lisibles.

Puis le monde a changé.

Les collaborateurs ont commencé à travailler à distance.

Les applications sont parties dans le cloud.

Les smartphones sont devenus des postes de travail.

Les données ont quitté le datacenter.

Les cyberattaques se sont professionnalisées.

L’intelligence artificielle est arrivée dans toutes les directions de l’entreprise.

Chaque évolution a amené son lot de nouveaux risques.

Et, à chaque fois, notre réponse a été la même.

Ajouter.

Ajouter un VPN.

Ajouter un proxy.

Ajouter un CASB.

Ajouter un EDR.

Ajouter un DLP.

Ajouter une MFA.

Ajouter un PAM.

Ajouter un SD-WAN.

Ajouter une nouvelle console d’administration.

Ajouter une nouvelle politique de sécurité.

Ajouter un nouvel agent sur les postes.

Chaque décision était justifiée.

Chaque projet répondait à un problème réel.

Aucune de ces technologies n’était une erreur.

Pourtant, après plus de vingt-cinq ans passés à accompagner des entreprises de toutes tailles, j’ai la conviction que nous avons créé un nouveau problème.

Un problème dont on parle encore trop peu.

La complexité est devenue une vulnérabilité.

Nous avons changé de problème

Les DSI me parlent rarement d’un manque de solutions.

Ils me parlent de manque de temps.

De manque de visibilité.

De manque de ressources.

Ils me parlent d’équipes qui passent leurs journées à maintenir l’existant plutôt qu’à préparer l’avenir.

Ils me parlent de projets qui prennent des mois parce qu’il faut vérifier les impacts sur quinze technologies différentes.

Ils me parlent de consoles qui se multiplient.

De contrats qui expirent à des dates différentes.

De politiques de sécurité devenues si nombreuses que plus personne n’est certain de leur cohérence.

Ils me parlent d’environnements hybrides où coexistent des infrastructures historiques, plusieurs clouds, des applications SaaS, des collaborateurs nomades, des partenaires externes et désormais des outils d’intelligence artificielle utilisés parfois sans aucune gouvernance.

Le paradoxe est frappant.

Nous n’avons jamais disposé d’autant de solutions pour protéger les entreprises.

Et pourtant, les DSI n’ont jamais eu autant de difficultés à piloter leur architecture dans son ensemble.

Le problème n’est plus seulement la sécurité.

Le problème est devenu la complexité.

La dette d’architecture

J’utilise souvent une expression qui résume cette situation : la dette d’architecture.

Contrairement à la dette technique, largement documentée dans le monde du développement logiciel, la dette d’architecture est plus insidieuse.

Elle ne naît pas d’un mauvais choix.

Elle naît d’une succession de bonnes décisions.

Chaque nouvelle menace justifie un nouvel outil.

Chaque nouveau besoin justifie une nouvelle couche.

Chaque nouvelle réglementation impose un nouveau contrôle.

Chaque nouveau projet ajoute une nouvelle exception.

Pris individuellement, ces choix sont souvent pertinents.

Mais personne ne reconstruit régulièrement l’ensemble.

Au fil des années, l’architecture cesse d’être un système cohérent.

Elle devient une accumulation de décisions prises à différentes époques, par différentes équipes, avec différents objectifs.

Et c’est là que réside le danger.

À force d’ajouter des technologies, certaines entreprises ne possèdent plus une architecture.

Elles possèdent une histoire.

obtenez votre cyberscore maintenant

Besoin d’un diagnostic de votre cybersécurité ? Contactez-nous dès maintenant pour un premier échange avec nos experts.

Demandez un cyberscore gratuit

Parler à un expert

Champs suivis d'un * sont obligatoires

Demandez un cyberscore gratuit