Toutes les entreprises modernes ont pour fondations une architecture technique. Au carrefour des relations d’une entreprise, l’IT joue un rôle fondamental tant pour les employés que pour les clients et les partenaires. Les écosystèmes ont d’ailleurs de plus en plus tendance à s’organiser autour d’un socle technique, facilitant les échanges de données entre les différents acteurs. Mais comment sécuriser ces fameux échanges ?
Entreprise étendue : les avantages de l’écosystème IT
Les avantages d’adopter un écosystème IT sont nombreux pour les entreprises :
- Gain de temps sur une multitude de tâches, grâce à la présence d’outils et applications à portée de main ;
- Gain de temps sur l’envoi d’emails aux fournisseurs : toutes les informations sont recensées sur l’écosystème ;
- Importantes économies : coût de gestion optimisé grâce à l’automatisation et à la simplification des tâches ;
- Meilleure performance grâce à des délais d’exécution amoindris ;
- Etc.
Véritable structure d’opportunités, l’écosystème offre également de nombreux avantages pour les fournisseurs, avec notamment une communication bidirectionnelle simplifiée par l’intégration API. De même, l’automatisation des process offre aux fournisseurs un gain de temps considérable.
Enfin, côté partenaires, l’écosystème permet de multiplier les perspectives de business.
Chaque acteur est ainsi en mesure de tirer profit de l’écosystème pour agrandir son réseau d’action et de partenariat.
Les risques liés à l’écosystème d’une entreprise étendue
Ouvrir son SI vers l’extérieur, c’est aussi potentiellement multiplier les risques de cyberattaque. La sécurité n’est en effet pas toujours à la hauteur des enjeux et l’exposition aux risques provoquée par l’essor du télétravail, du multicloud, de la mobilité et de l’interconnexion d’équipements pose de plus en plus question. Les dernières analyses montrent une forte hausse de l’exploitation de vulnérabilités non corrigées comme point d’entrée, ainsi qu’une pression croissante sur les API exposées. La transition très (trop ?) rapide vers le télétravail a notamment permis d’ouvrir certaines brèches de sécurité, et les systèmes dans le cloud ne sont pas épargnés.
Si l’on se rappelle tous de la cyberattaque qui a visé Equifax en 2017, conduisant au vol de données de 150 millions de personnes, d’autres attaques moins médiatisées ont régulièrement lieu. Le hack du Groupe Marriott en février 2020, par exemple, a lui aussi porté préjudice à plusieurs millions de clients.
Mais si le problème était en réalité la solution ? Pour contrer ces risques de sécurité et de cyberattaques, nombreux sont les experts à préconiser de s’appuyer sur l’écosystème pour gérer les vulnérabilités IT. Face à des cyberattaques de plus en plus spectaculaires et sophistiquées, les entreprises n’ont d’autre choix que de mener des actions. L’objectif : identifier, hiérarchiser et remédier aux différentes vulnérabilités afin de limiter le risque de cyberattaque.
Les nouveaux enjeux de cybersécurité autour de la data
Dernièrement, la surface d’attaque s’est globalement déplacée vers les données et les API. L’OWASP classe d’ailleurs désormais les risques API (autorisations brisées, authentification défaillante, expositions involontaires) comme prioritaires pour les équipes sécurité. Les incidents coûtent aussi plus cher et arrivent plus vite. Le coût moyen mondial d’une brèche est notamment passé autour de 4,9 M$ selon IBM, avec une hausse portée par l’automatisation des attaquants et l’exfiltration de volumes massifs.
Côté vecteurs, l’exploitation de vulnérabilités a presque triplé en 2024 par rapport à l’année précédente, portée par des failles non patchées et des chaînes d’approvisionnement logicielles. S’ajoutent à cela les menaces liées à l’IA : empoisonnement de données d’entraînement, exfiltration via modèles et attaques adversariales, désormais bien documentées par l’ENISA.
Enfin, NIS2 renforce les obligations de gestion des risques, de journalisation et de notification d’incident pour de nombreux secteurs, la sécurité des échanges devient ainsi un enjeu réglementaire autant qu’opérationnel.
L’API Management et autres solutions pour sécuriser l’écosystème IT
Bonne nouvelle pour les entreprises étendues, des solutions visant à garantir la sécurité de leur écosystème existent. C’est notamment le cas de la sécurité des API, ou API Management, qui vise à protéger l’intégralité des interfaces de programmation utilisées ou possédées par les entreprises. Concrètement, on parle ici d’inventaire et de classification des API, d’authentification forte (OAuth 2.1 / OpenID Connect), de politiques de limitation de débit et de validation de schémas, de contrôle d’autorisations fines et de détection d’anomalies ciblant les risques de l’OWASP API Top 10. Ces capacités s’accompagnent généralement d’une journalisation exhaustive et d’une supervision temps réel pour répondre aux obligations de gestion des incidents.
Lorsque l’on sait que la plupart des fuites de données sont dues à des API défaillantes, l’on comprend toute l’urgence à se concentrer sur ce type de solutions. Les éditeurs de solutions d’échange de données en interne de l’entreprise et avec l’écosystème sont nombreux : Comarch, Boomi, Blueway, Talend…
Les RSSI (Responsables de la sécurité des systèmes d’information) jouent eux aussi un rôle fondamental pour sécuriser l’écosystème IT des entreprises étendues. La fonction a d’ailleurs énormément évolué ces dernières années, au même rythme que l’évolution des écosystèmes. Aujourd’hui, le RSSI ne travaille plus seul, mais en partenariat avec la DSI, le responsable des données personnelles ou encore la direction commerciale. Tout son enjeu consiste à identifier la manière dont ses tâches et son organisation s’adaptent à l’évolution de l’écosystème.
Si la présence d’un écosystème rend l’entreprise plus performante et plus agile, cette dernière doit être en mesure de garantir la sécurité des données personnelles. Les écosystèmes de plus en plus ouverts impliquent forcément un plus grand nombre de tentatives de cyberattaques, dont certaines se soldent par des fuites de données importantes (Marriott, Facebook, MyHeritage, etc.). Tout l’enjeu des entreprises étendues consiste donc à trouver des solutions pérennes pour assurer la sécurité de leurs données en préservant un écosystème ouvert.
