Protection des applications, exposition des services à l’extérieur, transparence et sécurité des données : comment concilier ces projets opposés ? L’entreprise est invitée à une nouvelle classification de ses données et à un contrôle plus strict de l’usage des informations numériques.
Une personne schizophrène accorde aux éléments de son environnement des significations excentriques ; elle peut croire qu’ils ciblent sa personne, en dehors de tout lien logique. Pour de nombreux administrateurs réseaux ou responsables de projets informatiques, cette définition fait écho à une situation déjà vécue, voire quotidienne.
« La mise en conformité au règlement général sur la protection des données (RGPD/GDPR en Anglais) est une vraie préoccupation actuelle des DSI. Mai 2018 arrive vite et il reste beaucoup de travail à faire, en particulier dans le secteur financier où deux bouleversements s’opposent. D’une part, on demande d’exposer les données des clients, d’offrir plus de transparence et, simultanément, on impose de contrôler l’usage des données numériques. Ce sont deux axes de travail opposés, mais pas contradictoires », signale Mostafa Amokhtari, Directeur Technique France, CA Technologies.
L’éditeur de logiciels considère qu’il faut dorénavant travailler sur quatre axes simultanément, avec une stratégie numérique s’appuyant sur la compréhension du client-utilisateur, le développement rapide de codes de qualité, largement accessibles, et la gouvernance des risques associés. En effet, les activités de nombreuses industries sont remodelées par des applications informatiques interopérables, depuis plusieurs années déjà.
« Une entreprise interagit neuf fois sur dix avec ses clients par le biais d’un logiciel. C’est prépondérant dans l’économie des applications. Aux USA, pour réserver un véhicule, ses caractéristiques deviennent secondaires par rapport à l’interface du site permettant de le commander. »
Le phénomène arrive en France aussi. Lorsque le site Web d’un constructeur devient trop lent, le changement de marque – en un clic – devient de plus en plus fréquent.
Les enseignements principaux
Pour en savoir plus sur les stratégies gagnantes des dirigeants, CA Technologies a sous-traité une étude à Freeform Dynamics, qui a mené l’enquête auprès de 1 300 cadres internationaux dont une centaine en France.
Une entreprise sur cinq se dégage du lot : 21% maîtrisent l’économie des logiciels, disposent d’une véritable usine numérique pour innover. Ultra-modernes, elles se distinguent par une évolution rapide, en moins de deux ans, de leurs recettes (en croissance de 70% ou plus) et de leur profit (+50%). En bref, elles parviennent à combiner quatre atouts :
- L’agilité, une question de culture, d’outils et de processus
- L’approche DevSecOps, en particulier la sécurité de bout-en-bout
- L’automatisation mais aussi les simulations, les tests et la gestion des versions de logiciels
- Des connaissances fines extraites de retours d’expériences utilisateurs
Les champions de l’agilité prennent en compte les avis exprimés par les internautes pour faire évoluer leurs logiciels. Leurs gains de vélocité proviennent des tests fonctionnels qu’ils mettent en pratique. Parallèlement, ils s’assurent que la sécurité des services reste optimale à chaque mise à jour.
Justement, la sécurité ressort, sur l’Hexagone, comme l’une des priorités d’amélioration. Elle doit être embarquée, présente dès la conception puis tout au long du cycle de développement et de déploiement du logiciel : 48% des décideurs français considèrent cette étape comme essentielle, et 44% la jugent importante. Seulement 7% n’y prêtent guère d’attention ou ne se prononcent pas.
Améliorer la productivité du développement
« La sécurité d’un service logiciel est souvent l’affaire du pôle sécurité informatique qui intervient en bout de chaine. Si les tests de pénétration sont mauvais, l’équipe de développement doit retravailler ses composants. Dans la chaîne DevSecOps, les tests s’avèrent critiques à chaque étape. Ils concernent la qualité et la sécurité du logiciel, mais aussi l’expérience utilisateur. C’est un défi, une priorité : il faut donner au développeur l’accès à tout ce dont il a besoin pour créer des codes fiables, les tester de façon continue en s’affranchissant des brèches éventuelles des librairies qu’il utilise ».
Avec l’économie des applications vient celle des API, ces points d’entrée vers les logiciels d’entreprise que l’éditeur recommande de gérer via CA API Management et Live API Creator (gestion d’identités, de protocoles de sécurité, d’accès et protection de la donnée exposée).
En complément la solution CA DCD (Data Content Discovery) aide à détecter et à classer les données numériques tandis que CA TDM (Test Data Manager) intervient pour générer des jeux de données de tests menés en continu.
L’échantillon de données de production, des données anonymes ou synthétiques facilitent les analyses, les simulations, sans enfreindre le respect de la vie privée ni mettre en péril les données brutes.
La maîtrise des règles de l’économie des applications devient un avantage concurrentiel. D’où l’invitation de l’éditeur à se focaliser sur trois talents informatiques particulièrement recherchés en ce moment : l’approche DevSecOps, les API et l’Intelligence Artificielle élargie au machine learning.
En France, 69% des sondés estiment qu’il est difficile de recruter de jeunes diplômés dans ces domaines, et 42% pensent qu’il est plus simple d’embaucher des développeurs expérimentés.
Reprendre l’autorité sur les données de l’entreprise
La réglementation GDPR entrera en vigueur en mai prochain, et elle laisse deux ans aux entreprises pour se mettre en conformité, adopter de bonnes pratiques en termes de sécurité informatique et de protection des données personnelles.
« La GDPR va dans le sens de la démocratie des usages d’Internet. Elle constitue une réponse démocratique contre l’autocratie menée par les GAFA. C’est une loi transverse qui touche trois mondes : le droit, la technique et le citoyen », observe Frans Imbert-Vier, ancien DSI, et dirigeant d’Ubcom, société de conseil spécialisée dans la cybersécurité.
Il recommande de ne pas se précipiter ni de confier le projet de conformité aux seuls juristes.
« Le DSI doit reprendre son autorité sur les données de l’entreprise. Aucun autre acteur de l’entreprise n’a la légitimité pour être DPO (Data Protection Officer) et les consultants techniques en informatique ont toutes les cartes pour comprendre, apprendre et raisonner sur une loi aussi technique et complexe. Le DSI doit retrouver sa légitimité à piloter, gouverner la mise en œuvre de cette loi au sens de son organisation et pour toute l’entreprise. Il est le seul à pouvoir optimiser sa mise en œuvre à moindre coût ».