cyber securite

La force de travail fluide et sécurisée

Laurent Balmelli

Dans cette courte histoire, je discute de la façon dont les entreprises de toutes tailles peuvent, dans le cadre d’un processus de development, adopter le concept d’une main-d’œuvre fluide, i.e. qui s’adapte aux besoins changeants des ensembles de compétences, de manière cyber-sécurisée. Cet article est basée sur la version anglaise disponible sur Medium.com, i.e. The Trusted Liquid Workforce. 

Le concept de main-d’œuvre fluide

Le concept d’une main-d’œuvre fluide est introduit dans la vision technologique 2016 d’Accenture et concerne principalement qu’une partie de la main-d’œuvre n’est pas permanente et peut être adaptée aux conditions dynamiques du marché. En bref, dans une main-d’œuvre fluide, une proportion du personnel est composée de freelancers, d’entrepreneurs et d’autres employés non permanents. Aujourd’hui, il est rapporté qu’environ 20% de la main-d’œuvre informatique est fluide dans une partie importante des entreprises de grandes tailles.

Génies dans la bouteille  (Photo by Bobby Donald on Unsplash)

En fait, travailler en tant qu’indépendant est une pratique courante dans l’industrie des médias et du divertissement depuis longtemps. Ce modèle est aujourd’hui en train de rattraper son retard dans de nombreuses autres industries. De la “gig économie” au sentiment croissant des Gen-Y et des Gen-Z que l’emploi devrait être flexible, de multiples catalyseurs contribuent à l’idée que l’approche fluide est susceptible de continuer à éroder la main-d’œuvre classique.

Pour les entreprises, ce phénomène peut être mis à profit pour s’adapter à des conditions de marché en évolution de plus en plus rapide. En effet, l’accélération du rythme de la technologie et l’enjeu pour les entreprises de maintenir un ensemble de compétences leur permettant d’être compétitives peuvent être abordés en adoptant ce concept.

Déjà dans les Startups et PME

Pour ma part, j’observe que chaque PME et startup avec qui j’interagis soustraite des parties ou parfois la plupart de ses effectifs.

Relation éphémère (Photo by Chris Curry on Unsplash)

Un facteur clé pour intégrer une main-d’œuvre fluide est la démocratisation, dans le monde du développement d’applications et de la science des données, de l’utilisation de composants d’infrastructure basés uniquement sur le cloud (e.g. pour stocker le code source et les données) pour gérer le code source et les données. Comme on peut s’y attendre, cela ouvre la possibilité aux collaborateurs (permanents et éphémères) de travailler de n’importe où, car l’infrastructure de l’entreprise est en effet disponible n’importe où.

Les entreprises plus jeunes adoptent de nouveaux types d’outils et d’infrastructures plus rapidement que les entreprises et peuvent alors être plus flexibles pour permettre l’accès aux données à distance. Par conséquent, l’augmentation de la main-d’œuvre fluide est plus susceptible d’être une initiative ascendante dans l’ensemble du secteur en termes de taille d’entreprise.

L’écosystème qui l’entoure

Le besoin de sourcer des talents efficacement a donné naissance à un ensemble de plateformes telles que Upwork, Toptal et autres. L’externalisation éphémère sécurisée commence même à se répandre dans l’industrie avec de nouvelles entreprises telles que Cottage (https://joincottage.com).

Quelque part dans les Balkans (Photo by Aziz Acharki on Unsplash)

En outre, il existe des centaines d’entreprises situées dans des pays où le coût de la main-d’œuvre et les compétences sont combinés de manière avantageuse, ce qui donne accès à une main-d’œuvre fluide.

Aujourd’hui, l’externalisation des processus informatiques et le développement d’applications externes représentent ensemble un marché de 92 milliards de dollars. Si vous êtes ouvertement désireux d’embaucher une aide externe sur LinkedIn, vous serez contacté à plusieurs reprises par des entreprises d’externalisation IT, principalement des Balkans ou d’Asie. Les consommateurs de ces services couvrent réellement l’ensemble des tailles d’entreprise, dans tous les secteurs.

J’ai parlé à une douzaine de ces sociétés de services et, malheureusement, très peu ont un plan clair sur la façon de protéger efficacement les données de leurs clients. La plupart des mécanismes de protection tournent autour de la paperasse légale. Bien que cette approche puisse être réconfortante pour les grandes entreprises, il s’agit principalement d’une imposture pour les petites entreprises qui ne peuvent pas vraiment se permettre d’intenter une action en justice, encore moins dans un contexte international. 

Comment insuffler la confiance numérique

Sans surprise, la confiance numérique doit rattraper le phénomène de force de travail fluide. En pratique, il existe trois mesures simples que les entreprises de toutes tailles peuvent mettre en place pour protéger code source et données. La facilité d’adoption dépend directement de la manière dont ces mesures peuvent être mises en œuvre, c’est-à-dire de manière rentable et avec un impact minimal sur les opérations.

Infusion sécurisée (Photo by Massimo Rinaldi on Unsplash)

La mesure numéro un est d’automatiser et de rationaliser le “processus d’embarquement”, i.e. engager un externe et donner accès aux données. Dans le domaine du développement de code et de la science des données, où l’ensemble des composants logiciels nécessaires pour permettre un collaborateur de travailler est assez important, il s’agit d’un problème délicat. Par conséquent, un mécanisme d’embarquement performant et économiquement efficace pour attirer des collaborateurs fluides doit d’abord être mis en place. 

Une fois à bord, la deuxième mesure est d’assurer une protection continue des données. C’est un autre problème épineux en raison de l’absence de périmètre informatique d’entreprise classique, e.g. routeur, etc. Pourtant, comme je l’expliquais précédemment, le Cloud est un support efficace pour permettre l’accès à distance. Du point de vue de la sécurité, les clouds publics et privés, par exemple Google GCP, AWS et plus localement Exoscale, leader du cloud en Suisse, ont atteint un niveau de sécurité qui maintient la plupart des cybercriminels au large. Cela a eu pour effet de migrer la surface d’attaque des pirates informatiques vers les utilisateurs. En d’autres termes, le danger lié aux fuites de données se limite principalement aux points d’accès aux données et au comportement du développeur sur son laptop plutôt qu’à un problème de stockage centralisé.

En d’autres termes, auparavant vos serveurs internes auraient pu être ciblés. Désormais, avec une infrastructure informatique basée sur le Cloud, ce sont principalement vos terminaux, c’est-à-dire les ordinateurs portables des développeurs qui sont la proie facile. En effet, il est bien plus facile en pratique de voler un ordinateur portable que de pirater Google. De plus, les activités malveillantes des employés, c’est-à-dire les menaces d’initiés autour du vol de propriété intellectuelle, telles que le code source et les données, deviennent désormais l’une des préoccupations croissantes des entreprises. Cela semble être le résultat de l’adoption trop naïve d’une main-d’œuvre fluide, c’est-à-dire que la fluidité semble également éroder l’éthique de certains employés !

Par conséquent, la confiance numérique pour la main-d’œuvre fluide doit cibler les utilisateurs de l’entreprise avec des technologies telles que le contrôle d’accès zéro confiance (Zero Trust Access Control) et les mécanismes de prévention des pertes de données.

Qui a pris mon ordinateur portable ?? (Photo by Bastian Pudill on Unsplash)

Enfin, la troisième mesure consiste à mettre en place un système d’audit continu et adaptatif qui permet de collecter des événements de sécurité et de conformité sur l’ensemble de l’infrastructure basée sur le Cloud, y compris et en particulier sa périphérie (i.e. les utilisateurs). Le respect des normes de sécurité de l’information telles que ISO 27001 (en particulier les annexes) et SOC-2 est un point de départ pour mettre en place un programme de protection minimalement suffisant. Comme je l’ai mentionné ci-dessus, des technologies telles que le contrôle d’accès Zero Trust et la prévention des pertes de données, en particulier fournies par le cloud, sont quelques-uns des mécanismes qui contribuent à permettre une main-d’œuvre fluide et sécurisée.

J’espère que cet article vous a plu ! Plus d’informations sur le thème de la sécurité pour la confiance numérique et les processus commerciaux mondiaux dans les articles suivants (tous sur Medium.com et en anglais):

Infrastructure informatique pour des processus globaux: Qu’est-ce que l’approche “Zero-Trust?

Laurent Balmelli

A l’instar d’une infrastructure informatique classique, caractérisée par un périmètre  à l’arrière d’un routeur réseau tel qu’utilisée dans encore beaucoup d’entreprises aujourd’hui, une infrastructure de confiance zéro (“Zero-Trust” en anglais) met en œuvre des principes de sécurité qui protègent l’accès aux données lors de l’implémentation de processus globaux, i.e. des processus qui regroupent des activités auxquelles des gens contribuent à distance et dans le monde entier.

Cet article a pour but une introduction aux principes Zero-Trust et aux raisons pour l’adoption d’une telle infrastructure.

La mondialisation des processus

Au cours des 10 dernières années, les forces de la mondialisation ont continuellement remodelé les opérations des entreprises. Dans le cas du développement de produits et services, les grandes entreprises ont mis en place des centres d’excellence et des équipes offshore pour optimiser leurs allocations budgétaires. Ces entreprises ont également intensifié leurs collaborations techniques avec leurs semblables, ainsi qu’avec des partenaires plus petits, souvent pour pallier une pénurie de compétences et renforcer leur capacité à innover.

Photo par the blowup sur Unsplash

Ce qui est relativement nouveau, c’est que leur modus operandi est désormais reproduit par des entreprises plus petites, c’est-à-dire des petites et moyennes entreprises (PME), grâce à la montée en puissance de plateformes proposant des travailleurs indépendants comme Upwork, Toptal, ou simplement via des sociétés d’externalisation de la main-d’œuvre. En résumé, le coût  d’une mise en place d’un processus de développement de produits au sein d’une équipe globale est devenu suffisamment maîtrisable pour que les PME puissent désormais bénéficier des nouveaux flux d’information mondiaux (voir Mckinsey’s, Digital globalization: The new era of global flows). La globalisation des processus peut désormais se faire à grande échelle, c’est-à-dire dans toutes les tailles d’entreprise.

Dans de nombreux processus de développement globaux tels que ceux mentionnés ci-dessus, le code source d’application et les données traitées sont les principaux actifs de propriété intellectuelle consommés et générés.

Dans les scénarios présentés jusqu’à présent, un défi pour les entreprises de toute taille -et souvent un coût important constaté par les entreprises ayant une expérience de l’externalisation- est la sécurisation du processus. Le défi de sécurité est principalement le contrôle et la protection des actifs qui composent la propriété intellectuelle de l’entreprise tels que le code source d’application et les données tout au long du processus. Cela se fait idéalement via la mise en œuvre d’une infrastructure informatique qui permet de sécuriser le travail à distance, d’embarquer les travailleurs temporaires de manière viable et d’éviter les fuites de données lors de collaborations éphémères ou plus longues, que ce soit entre entreprises ou avec des indépendants.

La disparition du périmètre informatique

La manière classique pour les entreprises de protéger les actifs tels que le code source et les données est de les stocker dans le Cloud ou derrière le périmètre informatique de l’entreprise dans des serveurs “locaux”. Le périmètre informatique est généralement délimité par des éléments de réseau tels que des pare-feu (firewall) et des routeurs. Ainsi une fois derrière ces éléments, les exigences d’authentification et d’autorisation des ordinateurs sont moindres que lorsqu’ils sont à l’extérieur.

Photo par Dave Lowe sur Unsplash

La globalisation des processus, comme expliqué plus haut, obligent les entreprises à fournir un accès aux données aux collaborateurs à la fois à l’intérieur et à l’extérieur du périmètre informatique. L’utilisation de connexions de réseau privé virtuel type VPN (Virtual Private Network) est courante pour fournir un accès à des services internes. Cependant, un problème fondamental est la confiance accordée aux collaborateurs à l’intérieur du réseau, qu’ils soient connectés physiquement ou via un VPN. De plus, l’utilisation accrue des ressources Cloud brouille la distinction entre les services internes et externes.

En comparaison, une architecture de type Zero-Trust repose sur le principe qu’aucun collaborateur ne se voit attribuer un “montant de confiance” par défaut et que tous font l’objet d’une vérification approfondie. De ce fait, elle supprime la distinction entre un accès de l’intérieur ou de l’extérieur. De plus, la méthodologie de mise en place d’une infrastructure Zero-Trust suppose que le réseau est déjà compromis et que des menaces internes, par exemple des collaborateurs malicieux, sont actives. 

Cette approche est basée sur un ensemble de principes de conception réseau en cybersécurité qui mettent en œuvre une stratégie axée en premier sur la protection des données de l’entreprise, par opposition au périmètre du réseau. Cet objectif est le fondement adopté les normes de sécurité de l’information telles que ISO 27001 et d’autres publications de la série ISO 27k.

Photo par Pablo Stanic sur Unsplash

Protection des ressources à l’aide d’une infrastructure Zero Trust

En conclusion, l’approche Zero-Trust prescrit des principes de conception pour créer une infrastructure informatique qui se concentre sur la protection des ressources en maîtrisant leur accès par le biais d’un contrôle actif de la sécurité. Le principal avantage de cette approche est de fournir à une entreprise la capacité de mettre en œuvre des politiques de sécurité granulaires et dynamiques. Ces politiques sont évaluées en continu et capturent les conditions environnementales changeantes et variées telles que celles reflétées dans des scénarios commerciaux complexes et mondiaux.

Vous pouvez trouver une explication plus détaillée de l’approche Zero-Trust sur mon blog Medium (en anglais), en particulier avec l’article How Zero-Trust Architecture Design Enables Global Business Processes. 

Un bref guide aux parents pour gérer l’identité numérique (et l’avenir) de nos enfants

Laurent Balmelli 1 commentaire

Il est bien compris que le rythme des améliorations technologiques a maintenant dépassé la capacité des humains à s’adapter assez rapidement. En conséquence, si nous ne pouvons pas changer assez vite, les institutions le peuvent encore moins. Je discute dans cet article la façon dont ce phénomène pose des défis envers la gestion de l’identité numérique de nos enfants.

La parentalité a aussi besoin d’accélération

L’accélération des changements technologiques combinée à l’accélération de la mondialisation et du changement climatique a donné naissance à une crise identitaire mondiale. Cela s’est traduit par la montée du populisme et un double penchant de l’électorat vers les extrêmes (extrême droite et extrême gauche). Tous ces phénomènes sont discutés dans la littérature récente. En tant que parent de deux préadolescents, ma préoccupation immédiate est de savoir si je devrais aussi accélérer mon rôle parental?

Photo par Alternate Skate sur Unsplash

L’accélération parentale doit s’aligner sur les trois accélérations que j’ai mentionnées ci-dessus, à savoir la mondialisation, le changement climatique et la technologie. Dans cet article, je me concentre sur une seule d’entre elles: la technologie. Une approche du problème consiste à considérer ce qui constitue une éducation numérique précoce pour nos enfants qui aborde ce qui contribue à la crise identitaire.

Le pont entre deux identités

Il existe de nombreux guides parentaux et ils n’ont jamais été aussi populaires que récemment. Rares sont les parents qui ne souhaitent pas avoir d’enfants qui réussissent. La mondialisation est l’une des forces qui vient à exacerber le besoin d’être compétitif, d’où l’épanouissement des guides «recettes de génie». Pourtant, peu, voire aucun, ont comblé le fossé entre la psychologie des enfants et les enseignements nécessaires de l’identité numérique du jeune âge.

Photo par Emma Gossett sur Unsplash

En somme, l’accélération parentale nécessaire doit s’attaquer aux racines du malaise identitaire (plus à ce sujet ci-dessous) et fournir un rempart contre la vaste surface d’attaque encourue par nos enfants en ligne.

J’ai mentionné dans l’introduction que les institutions ne font que commencer leur voyage vers l’accélération de l’éducation numérique. Dans l’école de mes enfants, une fois par an, la police locale organise des séminaires sur les dangers des réseaux sociaux liés au harcèlement et à l’intimidation. J’ai même été invité l’année dernière à donner un cours de cybersécurité où j’ai appris aux enfants à créer des mots de passe complexes mais mémorables. Ces efforts sporadiques sont bien accueillis mais ils ne fournissent pas un programme cohérent.

Parents en accélération  

Heureusement, certains citoyens concernés mettent en place des initiatives à partir de zéro. Un exemple marquant est l’association non gouvernementale iCON basée à Genève en Suisse et cofondée par Lennig Pedron et Aris Adamantiadis, des parents conscients du problème doublés d’experts en cybersécurité.

L’organisation non gouvernementale propose des cours pour les enfants à une échelle significative et participe à des événements majeurs tels que la semaine des droits de l’homme organisée chaque année à Genève.

L’Organisation Non Gouvernementale iCON

L’ampleur des activités couvertes par l’association est assez impressionnante et ne répond pas uniquement aux besoins des enfants. Elle est active dans une série d’événements liés à la cybersécurité dans son ensemble.

Où commencer

Avant de choisir un programme pour les besoins de vos enfants, il est important de comprendre les racines de la crise identitaire actuelle. Une analyse approfondie est donnée par Heather E. McGowan et Chris Shipley dans le chapitre 2 de leur livre The Adaptation Advantage. Plusieurs facettes de leur analyse ayant un impact sur l’identité des gens sont ici pertinentes: l’érosion de la vérité, de la confiance et la fin de des distances physiques qui remodèlent les relations humaines.

Photo apr 🇸🇮 Janko Ferlič sur Unsplash

Internet et en particulier les réseaux sociaux ont donné une voix aux opinions les plus extrêmes et ont polarisé le discours politique. Cela rend difficile la distinction entre les opinions et les faits et entraîne une érosion de la confiance. Par exemple, une étude réalisée en 2016 par la Stanford Graduate School of Education révèle que «les étudiants ont du mal à juger de la crédibilité des informations en ligne».

Les communautés physiques sont remplacées par des associations en ligne. Selon une enquête de l’assureur Cigna, la génération Z (enfants nés entre 1997 et 2015) est la génération la plus connectée et aussi la plus solitaire.

Un programme sur l’identité numérique doit s’attaquer de front aux maux ci-dessus.

Où aller

Au minimum, un bon programme devrait inclure l’enseignement de méthodes de recherche d’informations de manière à développer la pensée critique. Dans la mesure du possible, savoir discerner opinions et faits est une compétence essentielle à acquérir. Un mécanisme pour développer des relations plus significatives en ligne est également un défi.

 

Le programme proposé par l’ONG Icon est un bon modèle pour les institutions

Le curriculum publié par l’association iCON semble être une instance qui couvre les besoins que j’ai identifiés ci-dessus. D’autres améliorations intéressantes sont l’inclusion des parents dans le processus d’apprentissage et la segmentation des classes par groupe d’âge.

Dans l’ensemble, suivant le modèle d’iCON pour l’éducation numérique des enfants et d’autres initiatives similaires, un programme adéquat devrait généralement inclure:

  • Hygiène informatique générale: enseignements de base sur la gestion des mots de passe, paramètres sécurisés pour les comptes en ligne, notions d’informatique verte, etc..
  • Information et confiance numérique: développer des compétences pour différencier les types de désinformation, y compris les “fake news”, les théories du complot, les chatbots, les modèles et algorithmes d’IA, etc.
  • Gestion de la confidentialité: enseigner la visibilité des informations sur les réseaux sociaux, des concepts tels que le classement social, la gestion des problèmes de confidentialité en ligne, etc.

L’inclusion des parents dans la classe permet un renforcement du processus et la possibilité qu’il se poursuive à la maison. Une segmentation par tranches d’âge permet un suivi à travers les différentes étapes de l’enfance jusqu’à ce que les participants atteignent l’âge de jeunes adultes.

Le salut de la pensée critique

Le principal résultat attendu d’un programme d’études sur l’identité numérique de nos enfants est le développement de leur esprit critique. Ceci est largement reconnu comme l’un des antidotes aux effets secondaires néfastes de la technologie qui remodèlent notre société, tel que le fléau de la désinformation. La pensée critique (“Critical Thinking” en anglais, mais également appelée “Sense Making”) est également l’une des compétences essentielles nécessaires à l’avenir du travail, telles que répertoriées par l’Institute for the Future (IFTF.org) dans le document Future Work Skills 2020.

Photo par Regine Tholen sur Unsplash

Une initiative comme celle lancée par Pedron et Adamantiadis fournit un modèle pour que les institutions soient plus résilientes et adaptables au changement. Tout le monde, et à plus long terme, nos enfants doivent concilier leur identité physique avec leur identité numérique. La date limite pour mettre en œuvre un programme solide est malheureusement déjà dépassée depuis longtemps.

Souvenons-nous que le rythme de changement le plus lent est aujourd’hui.

Commentaires, retours: Laurent Balmelli (Twitter Laurent Balmelli) Vous pouvez retrouver tous mes articles (en anglais) sur Medium ici,