L'émergence d'un nouveau rôle dirigeant : le Chief Zero Trust Officer
La cybersécurité s'est récemment imposée au premier plan des discussions au sein des conseils de direction. Le climat de tensions géopolitiques et d'instabilité économique actuel a intensifié la menace des cyberattaques et touche désormais toutes les entreprises à travers le monde, tous secteurs confondus. Les risques sont réels et potentiellement dévastateurs, notamment en ce qui concerne les attaques par rançongiciel et les violations de données susceptibles d'exposer des informations critiques sur les clients. Les entreprises prennent par conséquent de plus en plus conscience de l'importance du renforcement de leur résilience et d'une meilleure préparation de leur cybersécurité. Les entreprises doivent réorienter leur stratégie de cybersécurité, en passant de la simple réaction aux attaques lorsqu'elles surviennent à la planification proactive de ces événements inévitables.
La stratégie de sécurité Zero Trust a récemment connu un essor considérable. Son principe fondamental est simple : ne faire confiance à personne et toujours tout vérifier. Fondées sur le périmètre réseau, les approches traditionnelles de la cybersécurité ne sont plus adaptées au panorama numérique décentralisé d'aujourd'hui. C'est de ce constat que découle l'adoption des architectures Zero Trust modernes. Afin d'assurer leur sécurité, les entreprises doivent vérifier l'identité et la fiabilité de tous les utilisateurs, appareils et systèmes qui accèdent à leurs réseaux et leurs données.
Depuis un certain temps déjà, le Zero Trust retient l'attention des chefs d'entreprise et des membres des conseils d'administration. Cloudflare a publié à ce sujet une étude intitulée « The Journey to Zero Trust » (Le chemin vers le Zero Trust) qui révèle que 86 % des personnes interrogées avaient connaissance du concept de Zero Trust. Le Zero Trust n'est plus un simple concept aujourd'hui, mais une nécessité. À l'heure où le télétravail ou le travail hybride sont devenus la norme et où le nombre de cyberattaques ne cesse d'augmenter, les entreprises prennent conscience qu'elles doivent adopter une approche radicalement novatrice de la cybersécurité. Ces changements stratégiques peuvent s'avérer difficiles à mettre en œuvre. De nombreuses entreprises ont commencé à déployer des processus et des technologies Zero Trust, mais rares sont celles qui les ont pleinement intégrés. Cloudflare a ainsi découvert que 65 % des entreprises ont commencé à mettre en œuvre des méthodes et des technologies Zero Trust. Il reste ainsi encore de nombreuses opportunités de mettre en place le Zero Trust en tant que composante fondamentale de l'entreprise.
Pourquoi désigner un membre du CODIR chargé du Zero Trust et pourquoi le faire maintenant ?
Plusieurs multinationales se heurtent à des difficultés durant la phase de mise en œuvre de leurs programmes Zero Trust. Ces problèmes sont souvent la conséquence d'un manque de clarté en matière de direction et de responsabilité. Qui, « exactement », est responsable de l'adoption et du déploiement du Zero Trust au sein de l'entreprise ? C'est ici que le rôle de « Chief Zero Trust Officer » (CZTO, directeur du Zero Trust) peut potentiellement faire la différence.
Les grandes entreprises ont besoin de dirigeants compétents pour superviser l'ensemble de leurs activités et veiller au bon déroulement de leurs opérations. Les corporations confient les responsabilités de cette direction à des personnes endossant des rôles de « directeur », à l'image du directeur général ou du directeur financier. Il incombe à ces rôles de proposer une orientation, d'établir une stratégie, de prendre des décisions cruciales et de superviser les opérations quotidiennes, et les personnes qui les occupent sont souvent tenues responsables, devant le conseil d'administration, des performances et de la réussite globales de l'entreprise.
De manière similaire, les grandes entreprises et les grandes organisations exigent qu'un interlocuteur unique soit chargé de superviser le parcours d'adoption du Zero Trust. Ce dirigeant doit faire preuve d'une concentration inébranlable et se voir confier les prérogatives nécessaires au déploiement du Zero Trust dans l'ensemble de l'organisation. C'est ainsi que le concept de Chief Zero Trust Officer a vu le jour. Le terme « Chief Zero Trust Officer » revêt une grande signification, quand bien même il pourrait n'avoir l'air que d'un simple intitulé de poste. Il attire l'attention et présente le potentiel de surmonter de nombreux obstacles dans la lourde tâche qui vise à relever les problématiques liées à la mise en œuvre du Zero Trust.
Surmonter les obstacles à l'adoption
Un Chief Zero Trust Officer peut aider une entreprise à relever une multitude de défis technologiques susceptibles de survenir lors du déploiement du Zero Trust. La compréhension et la mise en œuvre de l'architecture complexe de certains fournisseurs peuvent demander du temps, exiger une formation approfondie ou nécessiter le recours à des services professionnels afin d'acquérir l'expertise indispensable. Le processus d'identification et de contrôle des utilisateurs et des appareils peut également constituer un défi au sein d'un environnement Zero Trust. Il implique de procéder à un inventaire précis de la base d'utilisateurs de l'entreprise, des groupes dont ils font partie, ainsi que des applications et des appareils qu'ils utilisent.
Du point de vue organisationnel, la coordination entre les différentes équipes est cruciale pour mettre en œuvre le Zero Trust de manière efficace. L'abolition de toutes les formes de cloisonnement au sein des services chargés de l'IT, de la cybersécurité et de la connectivité réseau, mais aussi la mise en place de canaux de communication clairs et l'organisation de réunions régulières entre les membres de l'équipe, constituent autant de démarches susceptibles de contribuer à l'établissement d'une stratégie de sécurité unifiée. La résistance au changement peut également s'avérer un obstacle considérable. Les dirigeants doivent ainsi recourir à différentes tactiques pour atténuer ses effets : donner l'exemple, communiquer de manière transparente et impliquer les collaborateurs dans le processus de transformation. Par ailleurs, le fait de répondre à l'avance aux préoccupations, mais aussi de proposer un soutien et des opportunités de formation aux collaborateurs, peut également faciliter la transition.
Responsabilité et imputabilité – quel que soit le nom que vous donnez
Une entreprise a-t-elle besoin d'un CZTO ? Le poste peut-il être confié à un collaborateur au sein du bureau du CTO ou du CISO, qui supervise actuellement la sécurité ? Les entreprises doivent attribuer le titre en fonction du niveau d'importance stratégique pour l'entreprise. Alors, qu'il s'agisse de Chief Zero Trust Officer (directeur de la sécurité Zero Trust), Head of Zero Trust (responsable de la sécurité Zero Trust) ou VP of Zero Trust (vice-président de la sécurité Zero Trust) ou de tout autre titre, ce rôle doit attirer l'attention et posséder l'autorité nécessaire abattre les silos et réduire les formalités bureaucratiques.
L'émergence de nouveaux postes au niveau du CODIR n'est pas un événement rare. Les rôles de Chief Digital Transformation Officer (directeur de la transformation numérique), Chief Experience Officer (directeur de l'expérience), Chief Customer Officer (directeur de la clientèle) et Chief Data Scientist (Data Scientist en chef) ne sont que quelques exemples des nouveaux postes apparus ces dernières années. Il est tout à fait probable que le poste de Chief Zero Trust Officer ne s'inscrive même pas dans la durée. Toutefois, la personne qui occupe ce poste devra détenir l'autorité et la vision indispensables pour faire progresser l'initiative Zero Trust, tout en bénéficiant du soutien de la direction de l'entreprise et du conseil d'administration.
Parvenir au Zero Trust
L'adoption de la sécurité Zero Trust constitue désormais une obligation pour de nombreuses entreprises, car le modèle traditionnel de la sécurité basée sur le périmètre ne suffit plus à assurer une protection contre les cyberattaques sophistiquées d'aujourd'hui. La supervision d'un CZTO est cruciale pour aider l'entreprise à s'orienter face aux obstacles techniques et organisationnels que comporte la mise en place du Zero Trust. Le CZTO doit ainsi diriger l'initiative Zero Trust, aligner les équipes et surmonter les difficultés afin d'assurer un déploiement fluide. Le poste de CZTO souligne l'importance du Zero Trust au sein de l'entreprise. C'est à lui de s'assurer que l'initiative Zero Trust bénéficie de l'attention et des ressources nécessaires au succès de sa mise en œuvre. Les entreprises qui se sont adjoint les services d'un CZTO aujourd'hui sont celles qui s'imposeront à l'avenir.
Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions susceptibles d'affecter les décideurs en matière de technologies d'aujourd'hui.
Auteur
John Engates
Ancien directeur technique sur site (Field CTO), Cloudflare
Points clés
Cet article vous permettra de comprendre les points suivants :
Comment surmonter les obstacles à l'adoption du Zero Trust
Pourquoi un CZTO dynamisera le succès d'une entreprise