Entretien avec le Responsable mondial des Technologies de sécurité d’IBM
L’état du secteur de la sécurité physique est en train de changer. Au cours de cet entretien, Steve Riley aborde les principales conclusions d’une récente enquête menée auprès des professionnels du secteur. Il nous présente également les prochaines étapes pour IBM et les domaines dans lesquels l’entreprise va concentrer ses investissements en matière de sécurité en 2023.
Nous nous sommes entretenus avec Steve Riley, Responsable mondial des Technologies de sécurité chez IBM Corporate Security, pour connaître son point de vue sur la façon dont IBM surmonte certains défis que nous avons mis en évidence dans le Rapport sur l’État de la sécurité physique, et sur les objectifs de l’entreprise en 2023.
Steve travaille dans le secteur depuis plus de 27 ans, au sein de diverses organisations et à différents postes. Et aujourd’hui, à l'heure où de nouvelles opportunités et de nouveaux défis se présentent, il s’appuie sur cette expérience pour aider son équipe à s'adapter et à avancer.
Vous n’avez pas encore obtenu votre exemplaire du Rapport sur l’État de la sécurité physique ?
Q : Quels sont les changements importants que vous avez constatés dans le secteur ?
R : De nombreuses organisations font encore preuve de réticence quant à l’adoption du cloud. Certaines s’y sont essayées en déplaçant une petite partie de leur déploiement dans le cloud, à des fins d'expérimentation. Mais la migration complète dans le cloud est toujours considérée comme un défi risqué. Nous sommes confrontés aux mêmes défis et aux mêmes risques chez IBM, mais nous gardons cette volonté de passer au cloud.
La cybersécurité est aussi un impératif. Nous devons tous optimiser la valeur des fonctionnalités de cybersécurité de nos produits de sécurité physique et de nos appareils IoT, et il faut adhérer aux bonnes pratiques de cybersécurité pour protéger les communications entre ces systèmes et appareils.
Par ailleurs, au cours des deux dernières années, nous avons dû faire face à de graves pénuries. À l’heure actuelle, il s’agit de rattraper les projets qui devaient être livrés ou qui ont été retardés. Cela nécessite plus de prévoyance et de planification, et nous avons besoin d’une feuille de route pour la reprise.
Q : Quelles différences avez-vous remarquées à votre poste depuis l’intégration de fonctions spécialisées ?
Steve Riley, Responsable mondial des Technologies de sécurité, IBM
R : Nous avons récemment intégré une expertise informatique plus spécialisée dans notre service de sécurité physique. Et cette étape a été essentielle pour nous afin d’évoluer vers un environnement de cloud hybride plus global.
Les compétences stratégiques que nous avons intégrées proviennent des PME du cloud. Nos propres équipes informatiques internes ont également été intégrées à nos équipes technologiques ou à nos équipes technologiques de sécurité physique. Elles ont joué un rôle central dans la façon dont nous concevons l'architecture de nos solutions au niveau mondial. Cela se traduit notamment par le
développement de réseaux résilients et un effort pour capitaliser sur toutes les fonctionnalités de pointe des technologies modernes, des systèmes d’exploitation, des applications et des équipements.
Ces compétences sont de plus en plus demandées au sein d’IBM. Nous avons commencé avec quelques PME dans les fonctions de vidéosurveillance et de contrôle d’accès. Mais à présent, nous faisons appel à des spécialistes du cloud et des données. Parallèlement à cet effort de modernisation à l’échelle mondiale, nous tenons également à améliorer la gestion de notre portefeuille de produits. Par conséquent, nous souhaitons trouver davantage de ressources pour superviser la gestion des actifs et les futures mises à niveau.
Q : IBM est une entreprise orientée cloud. Quel est le principal moteur de cette stratégie ?
R : En passant au cloud, nous n’avons plus besoin d’envoyer des techniciens sur place pour entretenir les systèmes et le matériel sur site. Nous pouvons réduire considérablement la maintenance et gagner en efficacité. Nous avons également accès à de nombreux outils d’analyse de grande qualité, certains s’appuyant sur le deep learning (apprentissage en profondeur) et l’intelligence artificielle. Ces derniers permettent de simplifier nos opérations de sécurité tout en délivrant de précieuses informations opérationnelles. Nous avons ainsi la possibilité de transformer notre modèle opérationnel actuel – traditionnellement un poste de dépense – en fonction génératrice de revenus. Et cet aspect renforce la philosophie du cloud au sein de notre organisation.
Mais je pense qu’il existera toujours une composante hybride car pour le moment, notre façon de fonctionner ne concorde pas avec une solution entièrement basée sur le cloud. Pour cette raison, notre objectif final est de nous préparer à être entièrement compatibles avec un fonctionnement cloud.
À l’heure actuelle, nous gérons la transition d’une solution locale vers une solution de cloud hybride sur l’ensemble de nos sites. Nous détenons des sites de différentes tailles, et chacun présente des défis uniques et ses propres exigences en matière de réseau. La méthode employée pour passer à un modèle de cloud hybride représente un défi qui dépend du nombre de sites que nous avons, ainsi que du nombre de systèmes que nous possédons dans chaque site.
Nous avons également des systèmes analogiques qui nécessitent un appareil physique sur site pour la conversion IP. Nous aimerions remplacer les équipements analogiques par de nouveaux appareils IoT sur ces sites afin de ne plus avoir besoin de solutions locales. Nos budgets étant annuels, ils influencent également le rythme auquel nous pouvons passer aux solutions cloud.
Il y aura toujours des défis à relever pour migrer un déploiement vers un environnement cloud. Du fait de notre collaboration avec GenetecMC, nous savons que la technologie évolue et qu’à terme, il sera plus simple de passer au cloud.
Q : Que dites-vous aux régions qui sont plus prudentes dans leur adoption du cloud ?
R : Je pense qu’il est important de tenir compte des risques et de l’évolution du secteur. Par exemple, l’Europe, le Moyen-Orient et l’Afrique sont probablement les plus matures en termes de déploiement de la vidéosurveillance à travers le monde, mais aussi en termes d’intégration de divers systèmes de surveillance disparates. En raison des caractéristiques de ces déploiements, je peux comprendre leur hésitation à passer à un environnement cloud.
En revanche, je pense que chaque année, de plus en plus d’organisations vont accélérer leur passage au cloud et s’efforcer de faire face aux risques perçus associés à cette évolution. Dans cette optique, elles doivent travailler sur des conceptions architecturales logiques afin de migrer leurs déploiements vers le cloud ; elles verront ainsi si elles peuvent en faire une fonction de surveillance exploitable au sein de leur organisation. Parce que la solution cloud complète est très différente de la solution cloud hybride. De plus, la virtualisation présente certains atouts qui offrent davantage de contrôle.
Il faut espérer qu'en travaillant avec leurs équipes d’architectes et en comprenant comment la conception de l’architecture renforce la résilience au sein de leur environnement, leurs inquiétudes seront apaisées. Parce que les environnements cloud sont intrinsèquement résilients. Et le fait de savoir comment ces environnements sont développés, associé à la conception architecturale, permet de faire une proposition solide.
Q : Comment votre équipe chez IBM a-t-elle réussi à atténuer les problèmes de chaîne logistique ?
R : Nous avons géré ces risques liés à la chaîne logistique en dialoguant régulièrement avec nos équipes d’approvisionnement internes. Nous avons également un lien direct avec notre fabricant d’équipement d’origine (OEM) et communiquons avec lui tous les mois pour rester informés de tout retard potentiel de produit. Nous nous efforçons de planifier nos projets bien en amont afin que nos OEM et nos distributeurs puissent connaître précisément nos besoins.
Nous analysons également notre portefeuille de produits et travaillons en étroite collaboration avec nos intégrateurs afin de le réduire aux produits essentiels qui répondent à toutes nos exigences. Dans certains cas, nous avons même envisagé d'obtenir ces produits le plus tôt possible, avant même toute activité d’installation.
Cependant, nous reconnaissons également que nous rencontrons des défis plus importants en matière de distribution, dans certaines régions spécifiques telles que l’Amérique latine. Nous sommes donc conscients de l’importance de travailler avec nos distributeurs, OEM et intégrateurs dans diverses régions et de maintenir une transparence totale quant au contenu de notre portefeuille de projets dans les années à venir, afin qu’ils sachent ce que nous tentons d’accomplir.
Q : Les budgets OPEX semblent augmenter. Sur quoi allez-vous concentrer vos investissements en 2023 ?
R : Notre orientation stratégique de 2023 sera la création d’un environnement cloud Genetec. Et nous allons mettre l’accent sur la région Asie-Pacifique (APAC), du premier au quatrième trimestre. Ensuite, nous passerons aux Amériques à partir des troisième et quatrième trimestres.
Nous n’allons pas nécessairement effectuer la transition de chaque site vers des environnements cloud pendant cette période. Mais notre objectif est de jeter les bases, de concevoir l’environnement, puis de les mettre à la disposition de nos équipes opérationnelles.
En atteignant ces objectifs clés l’année prochaine, nous aurons toutes les cartes en main pour commencer à piloter, tester et livrer ces systèmes conçus de manière architecturale. Ensuite, de fin 2023 à 2024-2025, nous pourrons migrer nos systèmes sur site dans cet environnement cloud.
Un autre domaine clé que nous aimerions explorer est l’automatisation du contrôle d’accès au système (AoA). Nous aimerions mettre à la disposition de nos utilisateurs des outils qui permettent d’automatiser l’octroi des privilèges de contrôle d’accès, afin de minimiser l’intervention humaine et de simplifier l’activité d’accès de bout en bout.
Q : Comment votre équipe chez IBM fait-elle face à la menace croissante des cyberattaques ?
R : La cybersécurité représente un risque important pour tout le monde, pas seulement pour IBM. Étant donné qu’IBM est une grande organisation dont la présence est internationale, nous sommes particulièrement sensibles aux attaques et aux risques.
C'est pourquoi nous surveillons en continu notre environnement et faisons preuve de diligence pour comprendre les risques associés aux produits que nous déployons sur notre réseau. Nous assurons la gestion de cet aspect en définissant des produits que nous déployons selon un type et une norme approuvés, en travaillant en étroite collaboration avec les équipes d’implémentation réseau d’IBM et en appliquant des contrôles rigoureux au réseau IBM.
Un grand nombre de nos sites sont également indépendants les uns des autres, mais nous avons mis en place des politiques et des processus solides qui encadrent le mouvement des données sur nos réseaux.
Nous investissons encore de façon importante dans le renforcement de nos technologies, et nous nous appuyons sur les bonnes pratiques recommandées par Genetec et des partenaires leaders du secteur afin d’atténuer tout risque potentiel de cyberattaque. De plus, nous appliquons une vérification continue de nos appareils et nous réalisons en permanence des analyses et des tests de vulnérabilité sur tous nos produits, ce qui nous permet de cerner et de résoudre les problèmes si nécessaire.
Enfin, nous nous assurons également que nos installateurs de sécurité connaissent parfaitement nos normes en matière de protection des données, afin que tout le monde soit sur la même longueur d’onde.
Q : Selon vous, y a -t-il d’autres tendances du secteur de la sécurité physique qui méritent notre intérêt ?
R : L’unification nous permet de gérer efficacement tous nos systèmes dans une même interface. À ce sujet, nous lançons un projet pilote aux États-Unis, et potentiellement en Suisse, qui vise à unifier nos systèmes vidéo existants avec le Système de contrôle d’accès SynergisMC.
Je pense que, de manière plus générale dans notre secteur, les entreprises vont devoir gérer, entretenir et contrôler leurs systèmes en assurant une gouvernance forte d’une plus grande partie de leur patrimoine d’un point de vue central. Alors, si nous pouvons remplacer un client lourd par un client léger tout en bénéficiant des mêmes fonctionnalités, voire plus, c’est la voie à suivre, car cela permet d’alléger la charge de travail en termes de gestion et d’assistance technique.
À quelle vitesse le secteur prendra-t-il cette direction ? Nous verrons bien. Pour notre équipe chez IBM, nous passerons aux clients web dans la mesure du possible, mais cela dépend fortement du niveau de fonctionnalité que ces clients offriront.