S’il ne tenait qu’à VMware, le CIO devrait plutôt s’intéresser pour sa sécurité IT au golf plutôt qu’au tennis. ” En golf, le sportif décide lui-même ce qu’il veut faire, explique Joe Baguley, CTO. Alors qu’en tennis, il faut chaque fois s’adapter à son adversaire. ”
La manière dont les entreprises exploitent leur informatique a fortement évolué au cours des dernières années. En pratique, les organisations évoluent désormais plutôt vers un environnement hybride, où une partie de l’IT est gérée en interne et une partie dans le cloud. Les implications sur la sécurité de l’infrastructure ne sont pas négligeables. ” Un seul et unique pare-feu ne résout nullement la question, explique Joe Baguley, CTO de VMware. Et nous n’évoquons même pas ici le cas des collaborateurs qui utilisent toutes sortes d’applis sur leur smartphone. Pour une entreprise, il est aujourd’hui extrêmement difficile de garder le contrôle sur l’ensemble de leur IT. ”
La question est d’autant plus délicate lorsqu’il s’agit de sécurité IT. La cyberguerre, le cyberterrorisme et la cybercriminalité sont des notions souvent confondues. Ce qui place les entreprises devant des défis insurmontables. ” Nous semblons tous obnubilés par la sécurité, dixit Joe Baguley. Pourtant, les investissements les plus importants sont consentis dans des mesures réactives. L’essentiel des dépenses est consacré au ‘patching’, alors que la prévention vient loin derrière. ” Pourtant, investir dans la prévention est et reste la meilleure manière de réduire les risques de sécurité. Ne dit-on d’ailleurs pas ‘Mieux vaut prévenir que guérir’ ? ”
Sécurité intrinsèque
Les organisations doivent susciter davantage de prise de conscience dans une sécurité contraignante, conclut-on dès lors. Même si la question est surtout de réfléchir à la manière dont la sécurité est organisée. ” Les grandes entreprises se retrouvent vite avec 50 à 100 produits de sécurité différents “, croit savoir Joe Baguley. D’où une complexité toujours croissante et des soucis supplémentaires en termes de gestion de toutes ces applications. ” Souvent, la connaissance fait défaut. Les entreprises finissent par ne plus savoir quel est le comportement normal de tel ou tel système. Du coup, elles ne remarquent même plus quand un processus particulier ralentit quelque peu, ce qui peut pourtant être la preuve d’un problème. ” VMware préfère dès lors opter pour une approche où la sécurité est intrinsèque. ” Nous intégrons la sécurité dans notre hyperviseur. Du coup, nous sommes présents partout en une fois avec notre sécurité. ”
A ce niveau, Joe Baguley fait volontiers la comparaison entre le golf et le tennis. ” La sécurité intrinsèque s’apparente au golf, explique-t-il. Vous choisissez vous-même où vous vous placez et comment vous voulez frapper la balle. ” Mieux encore, vous définissez l’attitude la meilleure à prendre et le type de club à utiliser. ” Par comparaison, la sécurité classique peut être comparée au tennis : il faut toujours voir comment se comporte votre adversaire, plus précisément où il place et comment il frappe la balle. ” Le message de VMware est clair : la priorité porte toujours plus sur la sécurité des applications. Mais quelles en sont les implications sur l’ensemble de l’environnement IT ? La responsabilité de la sécurité réside-t-elle dès lors chez les concepteurs d’applications ? Ou chez un acteur comme VMware ?
Les otages ne sont pas de bons clients
” Les choses sont certainement différentes aujourd’hui par rapport à hier, ajoute Joe Baguley. Autrefois, tout était hermétiquement fermé. Les concepteurs d’applications ne devaient en principe pas se soucier de la sécurité dans la mesure où leurs applications tournaient en toute sécurité derrière un pare-feu. ” Mais aujourd’hui, certaines applications opèrent aussi en dehors du périmètre classique de la sécurité, ce qui rend inévitable une autre approche de la sécurité. Reste à se demander si, avec le modèle de VMware, l’entreprise ne s’expose pas à un risque de ‘vendor lock-in’. ” L’avantage de notre écosystème est précisément que nous optons pour l’ouverture et le libre choix de chacun. Nous ne sommes certainement pas partisans d’un ‘lock-in’. Les otages ne sont pas de bons clients. Nous préférons des clients qui reviennent vers nous de leur propre initiative. Tout le monde y trouve ainsi son compte. ”
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici