Rares sont les entreprises bien établies qui ne considèrent pas la transformation numérique comme l’une de leurs priorités. Bien qu'il n'y ait pas encore de consensus universel sur ce qu’implique cette exactement transition, elle est largement considérée comme une mégatendance. Par ailleurs, les mesures de confinement liées à la COVID-19 ayant contraint les salariés à adopter le télétravail, la transformation numérique a accéléré le mouvement.
L'un des éléments clé de la transformation numérique à laquelle nous assistons est le passage d’une architecture informatique locale centralisée à une architecture basée sur le Cloud. Ce changement n’en est qu’à ses débuts, mais nous nous attendons à ce qu'il s'étende à la plupart des secteurs, zones géographiques et industries. Il ne s’agit pas seulement de changer la façon dont les entreprises connectent leurs salariés aux ressources informatiques internes, à Internet et à diverses applications. Cela concerne également la cybersécurité, qui est aujourd'hui plus importante que jamais.
Cybersécurité et ESG
La cybersécurité a un impact direct et important sur la sécurité environnementale, les relations avec les partenaires et la protection des données sensibles et du personnel1. Tous ces domaines ont de sérieuses implications sur les aspects sociaux et de gouvernance des activités des entreprises, ainsi que sur le profil de durabilité de celles-ci.
« Le degré d’engagement du conseil d’administration à l’égard de la sécurité informatique peut être un excellent révélateur de la validité de l’approche d’une entreprise en matière de cyber-risque », souligne les Principes pour l'investissement responsable (PRI), principal promoteur de l’investissement responsable à l’échelle mondiale. Outre les aspects de gouvernance de la cybersécurité, il existe également des aspects sociaux, notamment la sécurité autour de la collecte, de la conservation et de l’utilisation des données clients sensibles, confidentielles ou propriétaires.
Cela a conduit de nombreuses entreprises à inclure des informations sur les aspects ESG en matière de cybersécurité dans leurs rapports annuels de développement durable. Bien que cette évolution soit bienvenue, il convient de préciser que les entreprises ont tendance à sélectionner les données qu’elles publient2 car il n'existe pas encore de norme de reporting dans ce domaine.
Qu'est ce qui a changé ?
Il y a quelques années seulement, les réseaux des entreprises devaient permettre l’accès et sécuriser les connexions principalement à partir des ordinateurs du bureau utilisés par le personnel. Dans les rares cas où les salariés avaient besoin d’un accès à distance, on utilisait une application de type VPN (réseau privé virtuel).
La principale fonctionnalité de sécurité de ces réseaux centralisés était un périmètre (firewall) conçu pour filtrer le trafic entrant et sortant.
Cependant, les confinements et restrictions liés à la pandémie de COVID-19 ont rendu le travail à distance indispensable, pour lequel l’ancienne infrastructure informatique centralisée n’était pas conçue. Ses limites ont été testées dès lors que de nombreux employés (parfois des milliers) ont voulu se connecter à distance depuis de multiples localisations, certaines personnes utilisant des ordinateurs portables et des tablettes non sécurisés. Les salariés ont abandonné les PC du bureau, et les vulnérabilités du système et les points d’entrée potentiels pour les pirates se sont étendus bien au-delà de l’ancien périmètre connu du « pare-feu ».
Le côté positif
L’infrastructure informatique basée sur le Cloud est une alternative évidente au modèle centralisé traditionnel depuis un certain temps déjà, mais la pandémie l’a mise en lumière. Nous anticipons une accélération de la migration générale vers le Cloud.
L’émergence de plusieurs fournisseurs de services Cloud, tels qu'AWS, Microsoft Azure et GCP, a contribué à créer une nouvelle vision élargie de l’infrastructure informatique. Jusqu’alors, le matériel et les logiciels tels que les serveurs et les bases de données devaient être acquis et gérés par les entreprises elles-mêmes. Aujourd'hui, l’infrastructure informatique peut être externalisée comme un service (Infrastructure-as-a-service3) ou « IaaS », ainsi que tous les applications et logiciels requis (Software-as-a-Service4, SaaS). Ces nouvelles options de service ont suscité un vif intérêt de la part de nombreuses sociétés cotées, une entreprise moyenne utilisant aujourd’hui plus de 100 applications SaaS.
L’émergence du Cloud offre aux entreprises une flexibilité et une évolutivité qu’elles n’avaient pas auparavant. Le Cloud procure également un autre type de sécurité. En effet, la sécurité basée sur un périmètre central permettait aux utilisateurs autorisés d’accéder à pratiquement tout sur ce réseau. Cela constituait clairement un risque important quand une demande de connexion provenait de l’extérieur à l’organisation et de son périmètre de sécurité. C'est pourquoi la cybersécurité est aujourd'hui beaucoup plus centrée sur le concept de « confiance zéro ». Chaque demande, émanant d’un utilisateur connu, d’accès à un service, tel que Salesforce, Office 365 ou Zoom, est validée séparément et la connexion avec ce service est à nouveau interrompue une fois que l’utilisateur a fermé l’application. De cette façon, l’accès n'est autorisé qu’aux applications dont l’utilisateur a besoin et aucun mouvement latéral sur le réseau n’est permis.
Les entreprises qui améliorent et développent leur approche de la cybersécurité y sont poussées par la reconnaissance de leur performance sur les critères ESG, ainsi que par le besoin de changement découlant du nouvel environnement de travail. Celles qui entreprennent leur « migration vers le Cloud », et renforcent leur cybersécurité, en bénéficieront à bien des égards sur le long terme. Nous sommes fermement convaincus que ces tendances positives, bienfaits de la crise COVID-19, sont appelées à perdurer dans un avenir prévisible.
Au quotidien, notre équipe applique son expertise en technologies innovantes, de transformation numérique et cybersécurité et suit de près les régulières évolutions afin de d’identifier les entreprises susceptibles de bénéficier de l'accélération des tendances du marché dans ces domaines.
1 https://www.darkreading.com/risk/new-report-links-cybersecurity-and-sustainability
2 https://thestack.technology/cybersecurity-esg-reporting/
