Tous les actifs numériques sont sécurisés dans les architectures d'entreprise modernes
La valeur est subjective. Si vous voyez une fiche posée sur une table en entrant dans ma maison, vous pourriez la considérer comme un morceau de papier insignifiant et sans grande valeur, mais comme elle contient la recette de moutarde douce et piquante de ma défunte grand-mère, je pense qu'elle n'a pas de prix. Même fiche, deux interprétations complètement différentes de sa valeur. Tous les actifs numériques sont comme cette fiche. Leur valeur est subjective pour chaque entreprise, mais l’essentiel est qu’elles ont de la valeur. Les actifs numériques ayant de la valeur – encore une fois, je veux dire tous ces actifs – doivent être protégés.
Alors qu’une politique de tolérance zéro face au risque a souvent été une approche de sécurité pour les entreprises, les entreprises numériques matures reconnaissent qu’une approche risque/récompense en matière de sécurité est meilleure . Dans les magasins physiques, une approche risque/récompense est facile à observer dans la façon dont ils organisent et protègent leurs produits à vendre. Les articles de faible valeur (ahh, encore ce mot) sont facilement accessibles aux clients, tandis que les articles de grande valeur sont placés dans des vitrines verrouillées. La facilité d’accès améliore l’expérience client et la probabilité d’achat tout en augmentant simultanément la facilité de vol et de perte potentielle. Mais s’il est facile d’attribuer une valeur aux produits physiques et aux actifs numériques à l’aide d’équivalences monétaires, attribuer une valeur aux actifs numériques intangibles présente un plus grand défi.
Traitement actuel des « actifs numériques immatériels »
La protection des actifs numériques intangibles d’une entreprise (son code propriétaire, ses données opérationnelles et clients (télémétrie), ses modèles d’apprentissage automatique (ML), etc.) est tout aussi importante que la sécurisation de son système, de son site de commerce électronique et des transactions de ses clients. Une atteinte à ces droits intangibles s’apparente à une atteinte à l’honneur d’un chevalier à l’époque médiévale. Bien que l’honneur n’ait pas la même valeur tangible que l’or et les pierres précieuses, les chevaliers le protégeaient au péril de leur vie car il leur permettait de participer à des tournois, d’assister à la cour et de gagner la faveur des dames de la noblesse.
Une violation des actifs numériques d'une entreprise porte atteinte à la réputation de la marque et expose l'entreprise à la perte d'opportunités de développement ou de recherche de nouvelles méthodes de revenus. Prenons par exemple le détaillant américain Kroger, qui crée de la valeur dérivée à partir des données de ses clients pour ouvrir des flux de revenus avec d'autres entreprises. Si cet actif numérique était facilement accessible aux acteurs malveillants, Kroger ne serait pas en mesure de monétiser les informations ultérieures sur les habitudes d'achat des clients et les motivations d'achat qu'ils en tirent. Mais un pare-feu de grande envergure ne suffit pas nécessairement à considérer l’actif numérique comme sécurisé.
Sécurisation des actifs numériques au sein des architectures d'entreprise modernes
Les méthodes de protection employées par les entreprises pour sécuriser leurs actifs numériques reviendront à la discussion précédente sur la valeur. Poursuivant avec l’exemple de Kroger, leurs informations sont clairement de grande valeur puisqu’elles sont directement liées à un flux de revenus. Les données en tant qu’actif numérique de support ne sont peut-être pas enfermées derrière une porte gardée par un chevalier à l’intérieur de votre château avec un fossé et un pont-levis, mais ce n’est pas non plus quelque chose auquel vous voulez que des étrangers aient accès pour voler ou corrompre. Cela signifie que vous devez déterminer la valeur que vous lui accordez et le protéger en conséquence, ce qui nous ramène à l’adoption d’une approche de sécurité basée sur le risque par rapport à la récompense, tout cela étant rendu possible par les architectures d’entreprise modernes.
Les architectures d’entreprise modernes adoptent une sécurité qui fournit un cadre de protection. Des outils d’application déterministes, tels que l’authentification et le contrôle d’accès, sont utilisés avec des couches de connaissance de la situation et des politiques de correction tenant compte des risques.
Pour apprendre à faire des choix délibérés en fonction des risques pour la sécurité des applications modernes et à créer un cadre pour la protection des actifs numériques, lisez « Moving Beyond Fight or Flight », un chapitre de l'éminent ingénieur Ken Arora dans notre livre O'Reilly, Enterprise Architecture for Digital Business .