LMi-MAG 8 Juillet 2021 - Flipbook - Page 35
© Sarinyapinngam - iStock
L’achat excessif et la sous-utilisation des outils et des technologies
de sécurité sont non seulement coûteux et source de gaspillage,
mais ils ajoutent une complexité inutile, surchargent un personnel déjà
très occupé et entravent des opérations de sécurité plus productives.
autrement dit de sous ou de non-utilisation de produits, de services ou de fonctionnalités, et cette situation n’est pas sans conséquences. L’achat excessif et la sous-utilisation des outils et des technologies
de sécurité sont non seulement coûteuses et source
de gaspillage, mais ils ajoutent une complexité
inutile, surchargent un personnel déjà très occupé et
entravent des opérations de sécurité plus productives.
« Il peut y avoir différentes raisons à cela, mais la conséquence, c’est qu’il y a des coûts d’opportunité perdus et la
question se pose de savoir si l’entreprise aurait pu utiliser
ces produits ou services pour améliorer la sécurité »,
explique Alan Brill.
Une redondance qui rassure
Ces chiffres ne surprennent pas Neil Daswani, vétéran de la cybersécurité et coauteur de Big Breaches :
Cybersecurity Lessons for Everyone (Les violations majeures : quelles leçons en tirer pour la cybersécurité).
Lui aussi déclare avoir vu des équipes de sécurité
acheter des solutions qu’elles n’ont pas déployées
pleinement par la suite. « Il y a des raisons légitimes
à la sous-utilisation perçue, mais il y a aussi des prétants lors d’une fusion/acquisition au lieu de se débarrasser des logiciels superflus, etc. Alan Brill, le directeur
occupations légitimes », prévient-il. En effet, dans
général senior des cyberrisques pour le consultant Kroll,
certains cas, les équipes de sécurité peuvent choisir
a été confronté à tous ces scénarios. « Il arrive souvent
des solutions de manière réfléchie en sachant qu’elles
que des sets d’outils achetés ne soient pas utilisés du
n’utiliseront que certaines capacités spécifiques de ces
tout ou a minima des fonctionnalités disponibles »,
outils et qu’elles n’activeront uniquement les fonctions
avoue-t-il. Les recherches confirment les constataqui correspondent aux besoins stratégiques de leur
tions de M. Brill. Selon l’étude réalisée par CSO intitulée
entreprise. « C’est parfaitement acceptable », selon
« 2020 Security Priorities » (Priorités en matière de
M. Daswani. D’autres font remarquer que les équipes
sécurité en 2020), 50 % des responsables de la sécuride sécurité achètent de la redondance à dessein pour
té déclarent ne pas avoir recours à toutes les fonctions
s’assurer qu’elles disposent des capacités nécessaires
incluses dans leurs technologies ou services de sécurien cas de besoin. Par exemple, un RSSI peut faire apté. Par ailleurs, 26 % déclarent qu’ils manquent de respel à deux ou plusieurs fournisseurs de services pour
sources en personnel, de services d’assistance
avoir le support idoine en cas de violation, et
ITSM
ou de capacités de déploiement pour mettre en
être sûr d’obtenir une aide suffisante même
œuvre les technologies et/ou services de sécu- GESTION DE PARC en cas d’attaque à grande échelle ciblant de
rité qu’ils ont acquis. En outre, les personnes Cahier des charges nombreuses entreprises.
interrogées indiquent qu’elles n’utilisent que
72 % des produits ou services de sécurité acheCependant, les experts en sécurité affirment que
tés ou sous contrat.
les situations où la sous-utilisation des outils de
sécurité n’est pas stratégique mais réactionnelle
sont plus nombreuses. Il peut arriver qu’une
Selon les experts, la fonction de sécurité pose
cutt.ly/itsm-cmdb
équipe de sécurité hérite d’une série
clairement un problème de « shelfware »,
35