• Page Fond menu
Accueil > Blog > Quelle stratégie de transformation numérique pour l’Entreprise
< Retour

Quelle stratégie de transformation numérique pour l’Entreprise

02 / 04 / 2018 | Expert
Quelle stratégie de transformation numérique pour l’Entreprise

Quelle stratégie de transformation numérique pour l’Entreprise ?

Magazine N°734 Avril 2018 - Les 50 ans du Corps de l'armement
Thierry Leblond, président de Scille
https://www.lajauneetlarouge.com/article/securite-numerique-enjeu-majeur-pour-souverainete-nationale-security-by-design

 

Pour le dirigeant d’une entreprise, la stratégie de « transformation digitale» procède d’une vision nouvelle de son système d’information. Dès le stade de la conception, il se décline en quatre axes stratégiques « par conception » : la sécurité dans le cloud, la protection des données personnelles, l’agilité et la mobilité.

Dans ce contexte, garantir un partage sécurisé des données sur Internet devient l’enjeu majeur de la stratégie numérique de l’entreprise.

 

 

En 2018, dans un environnement économique et technologique en pleine mutation, tous les dirigeants d’organisation ont désormais compris que la réussite de leur « transformation numérique ou digitale » est stratégique voire vitale. Mais nommer les choses c’est d’abord les définir.

 

Passer d’une sécurité périmétrique à une « Security by design »

 

Le premier constat c’est qu’Internet et le cloud sont désormais incontournables. Or la sécurité informatique de l’entreprise repose, depuis l’invention des réseaux et du web, sur une vision de protection périmétrique qui considère que seul tout ce qui à l’extérieur d’un réseau protégé est l’ennemi. La protection est réalisée par des technologies de contrôle et de supervision du réseau : pare-feux, systèmes de détection d’intrusion (IDS), passe-plats, bastions, contrôle des connexions réseau, « deep packet inspection » (DPI), centre de gestion de sécurité (SOC). Parallèlement, l’accès aux données depuis l’extérieur de l’entreprise passe par par des technologies de chiffrement réseau comme les réseau privés virtuels.

 

Mais cette stratégie de protection, de type « Ligne Maginot » n’est pas suffisante. Elle est inopérante face aux nouvelles menaces. Et puis comment assurer parallèlement l’accès généralisé aux données de l’entreprise alors que certains pays interdisent les VPN ?

 

Les menaces sont principalement de deux natures :

 

  • La violation des données (Yahoo : 3 milliards de comptes utilisateurs, Uber : 57 millions de clients et 600 000 chauffeurs, le Pentagone : 1,8 milliard de messages soit plusieurs To de données) 
  • L’indisponibilité des données, voir leur corruption : la cyberattaque du rançongiciel NotPetya a fait perdre à St Gobain 250 M€ de commandes.

 

 

La sécurité informatique de l’entreprise doit désormais commencer dès le stade de la conception du système d’information en partant du principe que la vulnérabilité principale est le terminal utilisateur ; en d’autres termes que c’est le terminal (y compris sa dimension humaine) qui garantit le niveau de sécurité.

 

Dans ce cas, la confidentialité des données reposera sur le secret de la clé privée qui ne devra pas sortir du terminal utilisateur. Le cloud public assurera quant à lui  la résilience et la disponibilité. L’authentification, éventuellement forte à plusieurs facteurs, garantira la légitimité de l’utilisateur.

 

Le principe général est d’intégrer la sécurité au stade de la conception du système d’information ou « Security by Design».

 

La confidentialité des données devra désormais être assurée exclusivement par le poste client qui est la seule entité de confiance. Le modèle de chiffrement sera « Zero knowledge » (Ou : A diffusion nulle de connaissance), ce qui veut dire que seul le client connaîtra les clés de chiffrement. Ni l'administrateur, ni une quelconque autre autorité administrative ne pourra accéder aux clés de chiffrement. L'historisation permettra de voir quels changements ont été faits sur les données, et de restaurer le contenu à une version précédente.

 

C’est pourquoi, il faut construire le système sur une triple confiance :

 

  • Confiance dans les accès : garantir l’identité et les droits associés
  • Confiance dans le transport : le HTTPS offre une excellente garantie
  • Confiance dans le partage : gérer les clés privées au niveau de l’utilisateur

 

 

La protection des données personnelles et le RGPD ou le « Privacy by design ».

 

Le Règlement Général sur la protection des données ou RGPD est un règlement européen. Contrairement à une directive qui doit être transposé en loi nationale, il prend effet dans chaque loi nationale à compter du 25 mai 2018 dans les organisations de plus de 250 personnes. En cas de manquement, les sanctions vont jusqu’à 4 % du chiffre d’affaire annuel mondial. L’entreprise devient responsable du traitement, automatisé ou non,  des données personnelles, directes ou indirectes, concernant une personne physique identifiée ou identifiable.

 

Le responsable du traitement est considéré comme l’acteur économique responsable (principe d’accountability) et en tant que tel, il lui revient de prendre les mesures pour garantir la protection des données personnelles : déterminer les finalités, documenter les traitements, recueillir les consentements explicites, donner accès aux données, permettre leur effacement ou leur portage.

 

Le principe général est la protection des données dès la conception ou encore « Privacy By Design ». Ce principe rejoint le précédent au niveau de la conception du système.

 

« Mobility By Design »

 

La 4G et le wifi sont quasiment généralisés partout et à Lisbonne, les membres de la 3GPP - la coopération internationale qui fixe les standards de télécommunications -  se sont accordés en décembre 2017 sur les spécifications de la 5GNR (New Radio).

 

Les terminaux sont devenus massivement mobiles et c’est d’ailleurs le mode majoritaire de consommation de l’internet.

 

La mobilité a un impact direct sur l’organisation du travail : la généralisation des organisations collaboratives à distance entraîne la disparition des frontières physiques de l’entreprise.

 

La conséquence, c’est que les systèmes d’information devront être nativement « responsive », c’est à dire que leur ergonomie devra s’adapter naturellement au terminal, la règle de base de conception des pages étant l’ « expérience utilisateur » ou UX, ce qui comprend également les normes d’accessibilité.

 

« Agility By Design » et « Open Source » plutôt  que Progiciels de Gestion Intégrés

 

Une entreprise qui a construit son système d’information par briques applicatives au fil de ses besoins métier doit gérer au bout de 10 à 20 ans un patrimoine de plusieurs centaines, voire milliers d’applications indépendantes traitant pour la plupart des données similaires, notamment des données personnelles ayant trait aux utilisateurs ou aux usagers.

 

Toutes ces applications, sont généralement construites sur des architectures obsolètes « trois tiers » ou « client - serveur » qui comportent de nombreuses failles de sécurité. Il est impossible de boucher tous les trous.

 

Dans le meilleur des cas, l’entreprise a organisé ses processus autour de progiciels de gestion intégrés ou PGI, censés couvrir tous ses besoins fonctionnels, moyennant un paramétrage métier, mais nécessitant généralement de nombreux développements spécifiques et une longue et douloureuse période de migration et de changement.

 

 

A l’heure de la révolution numérique, continuer à organiser son système d’information autour de progiciels et de solutions applicatives est une erreur stratégique :

 

  • Comment assurer un accès universel au système d’information de l’entreprise ?
  • Comment adapter quotidiennement le système d’information à la stratégie de l’entreprise, aux processus et aux organisations en perpétuel mouvement ?
  • Comment garantir que toutes les données de même nature seront traitées de la même façon et de façon synchrone ?

 

 

Face à ce constat, une stratégie gagnante est par exemple celle annoncée par la Société Générale à l’occasion du Paris Open Source Summit 2017 :

 

  • Migrer ses applications, son middleware et son infrastructure sur des solutions du libre
  • Généraliser nativement le recours au libre dans les nouveaux projets
  • Convertir progressivement les applicatifs traditionnels par leurs alternatives en open source
  • Faire de ses informaticiens des contributeurs actifs

 

Au final, un tel projet consistera à reconstruire intégralement le système d’information à partir d’une plateforme d’échanges inter-systèmes, sur la base de briques libres construites, d’une part à partir des processus métiers (le frontend), et d’autre part, sur la base d’une restructuration métiers des données (le backend). Pour l’utilisateur, la transition sera douce puisque la plateforme intégrera une messagerie inter-systèmes qui synchronisera tous les applicatifs historiques avec la plate-forme via des interfaces de programmation applicatives ou API.

 

Le choix de l’open source par une organisation permettra d’assurer la réversibilité et la pérennité, et l’ouverture du code sera une garantie supplémentaire que les failles de sécurité seront plus rapidement corrigées.

 

L'adoption très rapide de Kubernetes, conçu par Google pour automatiser le déploiement et la montée en charge d'applications, est un autre exemple qui illustre la force du modèle open source.

 

En conclusion : Transformation digitale = Sécurité + Protection + Agilité + Mobilité

 

La « transformation numérique » procède d’une vision nouvelle du système d’information qui se décline désormais en quatre axes stratégiques « By Design » :

 

  • Sécurité dans le cloud
  • Protection des données personnelles
  • Mobilité
  • Agilité et Open Source