Adopter la DEX : Une étape après l'autre
La DEX (Expérience numérique des collaborateurs) est devenue un sujet brûlant pour les entreprises. Et on le comprend, puisque 65 % des collaborateurs disent qu'ils seraient plus productifs avec une meilleure technologie à leur disposition.
Cependant, pour sécuriser l'investissement, vous devez comprendre en quoi cela est bénéfique à votre entreprise, à la fois à court terme et à long terme. C'est pourquoi Chris Goettl, VP Gestion produit et sécurité, et Robin Rowe, Senior Product Manager, ont collaboré pour élaborer un guide pas-à-pas pour planifier et mesurer la DEX dans votre entreprise.
Importance de l'équilibre entre expérience utilisateur et sécurité
Pat Ziembicka : L'expérience numérique des collaborateurs est un sujet dont on parle depuis un bon moment, maintenant... depuis plusieurs mois en tous cas, et il devient de plus en plus important. Pourtant, on voit souvent cela comme un projet majeur, pour lequel il faut vraiment beaucoup dépenser et auquel il faut consacrer beaucoup de ressources. Mais ce n'est pas obligatoire. Ce peut être un simple fil rouge à incorporer dans vos opérations quotidiennes pour améliorer les activités IT et vos efforts de sécurité.
Avant de parler des étapes à suivre pour réellement mettre en œuvre cette approche par étape, examinons le conflit dans sa globalité. L'une des conclusions de notre étude sur la DEX, en milieu d'année dernière, est que 50 % des hauts responsables ont, en fait, demandé à contourner les mesures de sécurité au cours des 12 derniers mois. Alors, Chris, qu'en pensez-vous ?
Chris Goettl : Souvent, il y a deux enjeux à considérer. En fait, quand vous mettez en place une mesure de sécurité en place, c'est pour restreindre ou contrôler ce qui se passe dans votre environnement, et pour une bonne raison. Je veux dire, elle porte sur des éléments susceptibles de servir à des pirates pour attaquer cet environnement.
Il faut donc mettre en place des mesures pour garantir que Chris ne peut accéder qu'aux éléments auxquels Chris a vraiment besoin d'accéder. Il ne doit pas avoir accès aux éléments disponibles pour Robin, simplement parce qu'il faut distinguer les responsabilités et que certaines informations doivent rester séparées. On peut donc être amené à appliquer des mesures comme un meilleur contrôle de l'accès aux fichiers ou la capacité à exécuter des fichiers en tant qu'administrateur. Tous ces éléments doivent être restreints parce qu'ils nuisent à la sécurité de notre environnement.
Prenez les mots de passe, c'est un bon exemple. Tout le monde déteste les mots de passe. On aime les choisir très simples et reproductibles pour qu'on n'ait pas à tous les mémoriser. Si vous êtes comme moi, vous imposez une stratégie de mots de passe même à votre propre famille. Ma femme et mes enfants m'en veulent de leur imposer d'utiliser un mot de passe différent pour chaque site, et de devoir gérer tout cela. Souvent, la mise en place de mesures de sécurité plus strictes rend l'expérience utilisateur plus difficile.
Si je mets en place une stratégie de mots de passe plus sévère, je le fais pour vous empêcher de réutiliser un même mot de passe, pour que vous le choisissiez plus long, avec des caractères spéciaux, des majuscules, des minuscules, un nombre de caractères spécifiques, pour vous interdire de le réutiliser et vous obliger à en changer tous les 90 jours. Eh bien, c'est frustrant pour les utilisateurs. Et ils vont trouver un moyen de contourner le problème. L'équilibre entre l'expérience utilisateur et la façon dont nous sécurisons cette expérience demande en fait des compromis constants.
Et je pense que l'un des aspects les plus intéressants de cette situation, c'est que... hé, vous tous, pourquoi un type de la sécurité est ici pour parler de la DEX, qui est plus une expérience numérique ? C'est exactement le problème dont nous voulons aussi essayer de parler.
Quand vous commencez à agir, plus vous renforcez la sécurité, plus cela a un impact potentiel sur l'expérience numérique. Et l'une des choses que je trouve particulièrement intéressantes dans la DEX, et dont nous voulons parler aujourd'hui, c'est la façon dont la DEX rend la situation plus visible, pour nous permettre d'améliorer à la fois l'expérience de sécurité et l'expérience numérique globale.
Robin Rowe : La sécurité et l'exploitation représentent des forces horizontalement opposées à ce sujet. La friction apparaît lorsque l'utilisation de la flexibilité dans la productivité peut être impactée par les stratégies de sécurité strictes. Ou bien, inversement, quand le renforcement de la sécurité est compromis par des dirigeants frustrés par les problèmes de productivité qui annulent ou contournent ces stratégies. Pourtant, dans le même temps, sécurité et exploitation sont étroitement liées à l'expérience numérique, à divers niveaux.
Et surtout, cela commence avec les informations décisionnelles. La DEX commence vraiment avec les données, et ces données peuvent être classées en deux catégories. La première, ce sont les éléments qui impactent vraiment l'utilisateur, ceux qui comptent pour lui. Certains incidents ont en fait un impact sur l'utilisateur via les symptômes qu'il perçoit : il peut s'agir de la lenteur des réservations, des plantages d'application, des écrans bleus, etc.
Et si l'on pense à la relation avec la sécurité, ces symptômes peuvent avoir été provoqués par un récent changement en matière de sécurité : un nouveau correctif, un changement de stratégie, le déploiement d'un nouveau logiciel de sécurité qui crée un conflit... Les outils DEX nous aident à identifier ces nouveaux symptômes qui apparaissent. Mieux encore, ils montrent l'étendue du problème, le nombre d'utilisateurs concernés. Et ils aident les équipes de support et de sécurité à corréler ces symptômes aux changements.
La DEX permet aussi d'enquêter auprès des utilisateurs et cela peut s'avérer très utile pour prendre le pouls des problèmes technologiques. Donc, ce sont des choses qui n'ont peut-être pas été détectées automatiquement ou pour lesquelles les utilisateurs n'ont pas généré de ticket. Mais cela donne aux équipes de sécurité et d'exploitation une visibilité précoce, afin qu'elles puissent potentiellement interroger les utilisateurs, peut-être sur un récent changement majeur récent, un gros déploiement de mises à jour ou dans le cadre d'un « Shift Right » de la stratégie de sécurité.
J'ai discuté récemment avec un CISO et il est vraiment fasciné par le potentiel de la DEX. Par défaut, l'on blâme souvent la sécurité... s'il y a un problème, c'est sûrement à cause d'une stratégie de sécurité. Donc, pour lui et son équipe, ce n'est pas seulement un moyen de mesurer l'impact des stratégies, mais aussi une façon d'éviter les a priori et d'impliquer son équipe.
La deuxième catégorie de données concerne les éléments liés à l'état de santé global du périphérique. Du point de vue de la sécurité, il peut s'agir de cyberhygiène, de correctifs ou éléments manquants, d'EDR (Détection et réaction sur le poste client), de logiciels antimalwares qui ne fonctionnent pas, d'agents manquants ou autres éléments de ce type.
Et ce sont des aspects qui ne concernent pas directement les utilisateurs. Ils n'ont pas un impact direct sur les utilisateurs. Pourtant, ce sont des éléments qu'il faut repérer et corriger du point de vue de la DEX, car si l'utilisateur subit un problème lié à ces éléments, comme un problème de sécurité, cela peut avoir un gros impact sur son expérience, soit directement en raison du problème, soit en raison de la remédiation nécessaire (notamment s'il faut appliquer une nouvelle image au périphérique ou le remplacer).
Chris Goettl : C'est vraiment une bonne chose de pouvoir parler de l'expérience numérique avec un CISO. Il faut le voir comme ceci : lorsque ce CISO voudra distribuer une nouvelle stratégie, il va pouvoir utiliser la DEX pour déterminer l'importance de l'impact de cette stratégie. On peut notamment l'évaluer au volume des tickets émis. Alors, pour déployer cette nouvelle technologie, il est intéressant d'étudier un groupe pilote de très près pour savoir comment le changement impacte ce groupe.
Si vous le faites correctement, les groupes Sécurité devraient pouvoir déployer les nouvelles technologies, les changements et les stratégies en ayant une meilleure visibilité de cette expérience. Cela permet finalement d'éviter un autre problème commun à de nombreuses entreprises, je parle évidemment du Shadow IT. Si l'impact sur les utilisateurs est trop important, ils vont trouver un moyen de contourner le système.
Et vous savez, Pat, la statistique qui dit que 49 % des hauts responsables contournent délibérément les mesures de sécurité en est le résultat direct. Avec une expérience DEX mature, on aurait pu l'éviter. Vous auriez pu consulter ces données, ce qui vous aurait permis de comprendre et d'améliorer l'expérience des utilisateurs.
Ainsi, pour revenir aux mots de passe, une excellente technologie pour améliorer l'expérience en matière de mots de passe consiste à éliminer carrément ces mots de passe. C'est la faiblesse de cette expérience numérique. Personne ne veut mémoriser trente mots de passe. Personne ne veut changer régulièrement de mot de passe.
Par conséquent, si l'on élimine le mot de passe pour utiliser d'autres types d'authentification forte comme les données biométriques, les certificats ou le téléphone comme jeton, ils peuvent faire partie du mécanisme d'authentification. Et pour moi, c'est facile. Lire un QR code, obtenir une notification Push, accepter de ne plus avoir à mémoriser aucun mot de passe.
Cela crée une expérience numérique de qualité et renforce la sécurité en même temps. J'aime bien la direction que nous prenons et les types de conversation qui émergent.
Avantages de la DEX
Pat Ziembicka : Chris, Robin a dit que l'application des correctifs faisait partie de la DEX. Pouvez-vous nous en dire plus et, peut-être, éclairer nos auditeurs sur les avantages au quotidien pour nos équipes de sécurité IT ?
Chris Goettl : Tenez compte du fait qu'il s'agit d'un aspect auquel tout le monde est confronté tous les jours. On a continuellement besoin d'identifier les risques, de prioriser les éléments à mettre à jour et de distribuer ces changements dans l'environnement. Donc, on parle à la fois de gérer la vulnérabilité et les risques, de résoudre ces risques et de gérer le changement.
Peu d'opérations entraînent autant de changement que la gestion des correctifs dans tout l'environnement. Une chose que me disent de nombreuses entreprises, c'est que dès le début d'un nouveau cycle d'application de correctifs, elles sont toujours la cible de critiques pendant quelques semaines, le temps que la maintenance soit exécutée. Et nous nous sommes amusés avec cela au fil des années.
Comme je l'ai dit, je fais ce travail depuis un certain temps maintenant et j'ai été sur site, vous savez, sur place avec les clients qui déploient nos technologies. Très souvent, nous limitons l'application des correctifs à un petit échantillon d'utilisateurs pendant la journée de travail, puis nous parcourons le site et allons parler aux gens pour connaître leur réaction.
On va parler à une personne et lui demander, vous savez, comment est son expérience, et elle dit : « Oh ouais, vous avez dû installer quelque chose, les gars, parce que plus rien ne fonctionne, là. Euh... vous n'êtes même pas dans le groupe pour lequel nous avons fait le déploiement. Donc, non. Et on va voir une autre personne, parce que : « Ah oui, c'est l'une des personnes à qui nous avons appliqué le correctif. Allons lui parler. »
Et elle nous répond : « Oui, tout fonctionne très bien, tout le monde est très performant. C'est parfait. » On lui dit : « Vous avez vu qu'on vient d'appliquer un correctif à votre machine ? » « Ah bon ? J'ai rien vu. » Vous savez, l'application des correctifs n'est pas la cause de tout ce qui va mal dans l'environnement. Pourtant, les personnes chargées de l'effectuer sont souvent blâmées pour tous les problèmes sur cette période.
On a eu un cas intéressant. On a un client, l'un des premiers à avoir adopté l'expérience DEX Ivanti Neurons. Il s'en est servi pour mesurer la qualité du déroulement des cycles de correctifs dans son entreprise. Pour déployer les correctifs, il a tout mis en place : il a un groupe pilote par lequel il commence, un échantillon d'environ 1 % de son environnement. Il a ensuite un groupe d'adoption précoce, qui fait environ 9 % de plus de son environnement. Puis il passe à l'environnement de production, c'est-à-dire au reste de l'entreprise, sur quelques semaines. Pour les premières 48 heures, il applique les correctifs au 1 % de départ. Il surveille ce groupe de très près.
Avec la DEX, il a pu bénéficier d'une bien meilleure visibilité de ces éléments, parce qu'elle exploite les informations du centre de support. On voit si l'un de ces utilisateurs ouvre des tickets. Et on sait si ces tickets sont liés aux éléments qu'on vient de mettre à jour. On voit les informations sur le type de stabilité du système renvoyées par les arborescences avec et sans agent mises en place. D'après ces informations, est-ce que l'on constate des plantages ? Est-ce qu'il existe d'autres problèmes ?
Importance du score DEX pour les efforts de sécurité
Pat Ziembicka : En quoi ce score aide-t-il les équipes Sécurité ? Et permettez-moi d'ajouter : les données de sécurité impactent-elles le score DEX ?
Chris Goettl : Oui, tout à fait, les données de sécurité peuvent impacter le score DEX. Vous pouvez consulter différentes informations. Si l'on revient à notre exemple concernant les correctifs pour aller plus loin, on n'a pas uniquement des informations sur les publications des fournisseurs, le niveau de gravité signalé par le fournisseur et le score CVSS de la vulnérabilité. On obtient aussi des données via notre plateforme de gestion des vulnérabilités sur la base des risques (RBVM), concernant les risques sur le terrain que représentent les vulnérabilités exposées. On peut vous signaler qu'il existe dans votre environnement une vulnérabilité dont l'exploitation est connue.
Voici une statistique intéressante : plus de 73 % des vulnérabilités exploitées par les pirates aux ransomwares ne sont pas classées Critique par le fournisseur. Cela signifie que pour ces vulnérabilités, si vous les priorisez de manière traditionnelle d'après la gravité fournisseur et le score CVSS, vous ne tenez pas vraiment compte des réalités du terrain.
Prenons l'année 2021. Microsoft a résolu 23 vulnérabilités Zero Day. Et 15 d'entre elles, même si Microsoft savait très bien qu'elles avaient été activement exploitées, avaient seulement le niveau Important, en raison du mode de fonctionnement de ses algorithmes de scores. La plupart des entreprises se concentrent sur les mauvaises vulnérabilités.
Dans un cas comme celui-là, en fournissant un score de risque plus robuste, vous pouvez savoir spécifiquement que vous avez un périphérique susceptible de contenir des vulnérabilités critiques exposées. Et surtout, savoir qu'il comporte trois vulnérabilités de type Important dont l'exploitation est connue et qui sont en vogue parmi les pirates aux ransomwares. Ce sont en fait les plus dangereuses, et il faut un algorithme de scores qui gère ce problème et en offre une bonne visibilité. On peut intégrer une riche facette de sécurité dans ce score DEX, quand je regarde les périphériques de mon environnement.
Désormais, j'ai la visibilité nécessaire et la capacité de mesurer davantage les risques réels sur le terrain liés à ce périphérique. Et on a des clients qui tirent réellement profit de cela. Non seulement ils connaissent les risques réels pour l'environnement et s'assurent que leurs SLA se concentrent davantage sur les quelques centaines de vulnérabilités réellement exploitées au lieu des milliers qui ne le seront jamais chez eux, mais ils en tirent aussi un avantage opérationnel, puisque les mises à jour sont distribuées.
J'ai déjà parlé de ce client. Son principal objectif était la réduction des risques, pas l'impact opérationnel. Il constatait que des tickets étaient ouverts, que des exceptions étaient créées et qu'il existait des risques à long terme dans son environnement en raison de l'impact opérationnel. La DEX lui a fourni la visibilité nécessaire pour le comprendre.
Ce que l'on voit ici, ce n'est pas seulement la réduction de l'impact opérationnel de l'application des correctifs, mais aussi la réduction du risque global dans son environnement parce que son traitement est plus efficace et limite l'impact opérationnel.
.
Rome ne s'est pas faite en un jour. Et on peut dire la même chose de l'implémentation d'une expérience numérique des collaborateurs de qualité. C'est pourquoi une approche par étape de l'investissement dans la DEX est la meilleure façon de procéder pour aider vos équipes IT et Sécurité à court terme, et pour préparer votre entreprise à réussir à l'avenir.
Pour accéder à toutes ces informations, visionnez notre webinar complet, intitulé « A step-by-step guide to planning and measuring digital employee experience (DEX) » (Guide pas à pas pour planifier et mesurer la DEX).