La force de travail fluide et sécurisée
Article invité par Laurent Ballmeli, CEO et co-fondateur de Strong.Network
Dans cette version revisitée de mon article de 2022 sur le sujet de la gestion d’une main-d’œuvre de développement à distance, je discute des stratégies pour intégrer de manière sécurisée une « main-d’œuvre liquide », illustrant l’utilisation d’environnements de développement cloud sécurisés pour mettre en œuvre la confiance numérique tout en offrant de la flexibilité aux développeurs travaillant à distance.
/* La version anglaise cet article est disponible ici */
Les développeurs à distance font partie de la main-d’œuvre liquide
Le concept de main-d’œuvre liquide, mis en avant par des sources comme Forbes et Banco Santander, souligne l’adaptabilité de certains employés aux fluctuations du marché. Cette main-d’œuvre, composée de freelances, de contractuels et d’autres formes d’emploi non permanent, représente environ 20 % de l’effectif IT dans de nombreuses entreprises du Fortune 500.
Figure: Il est rapporté qu’environ 20% de la main d’œuvre informatique est liquide dans une grande partie des entreprises du Fortune 500.
En fait, travailler en tant qu’indépendant est une pratique courante dans l’industrie des médias et du divertissement depuis longtemps. Ce modèle est aujourd’hui en train de rattraper son retard dans de nombreuses autres industries. De la “gig économie” au sentiment croissant des Gen-Y et des Gen-Z que l’emploi devrait être flexible, de multiples catalyseurs contribuent à l’idée que l’approche fluide est susceptible de continuer à éroder la main-d’œuvre classique.
Pour les entreprises, ce phénomène peut être mis à profit pour s’adapter à des conditions de marché en évolution de plus en plus rapide. En effet, l’accélération du rythme de la technologie et l’enjeu pour les entreprises de maintenir un ensemble de compétences leur permettant d’être compétitives peuvent être abordés en adoptant ce concept.
Développement logiciel à distance dans les startups et les PME
Pour ma part, j’observe que chaque PME et startup avec qui j’interagis soustraite des parties ou parfois la plupart de ses effectifs.
Figure : Les environnements de développement cloud fournissent un mécanisme permettant d’intégrer des développeurs du monde entier dans des environnements préinstallés, en les connectant à des services en ligne.
Un facteur clé pour intégrer une main-d’œuvre fluide est la démocratisation, dans le monde du développement d’applications et de la science des données, de l’utilisation de composants d’infrastructure basés uniquement sur le cloud (e.g. pour stocker le code source et les données) pour gérer le code source et les données. Comme on peut s’y attendre, cela ouvre la possibilité aux collaborateurs (permanents et éphémères) de travailler de n’importe où, car l’infrastructure de l’entreprise est en effet disponible n’importe où.
Les entreprises plus jeunes adoptent de nouveaux types d’outils et d’infrastructures plus rapidement que les entreprises et peuvent alors être plus flexibles pour permettre l’accès aux données à distance. Par conséquent, l’augmentation de la main-d’œuvre fluide est plus susceptible d’être une initiative ascendante dans l’ensemble du secteur en termes de taille d’entreprise.
L’écosystème qui l’entoure
Il existe des centaines d’entreprises situées dans des pays où le coût de la main-d’œuvre et les compétences sont combinés de manière avantageuse, ce qui donne accès à une main-d’œuvre fluide.
Aujourd’hui, l’externalisation des processus informatiques et le développement d’applications externes représentent ensemble un marché de 92 milliards de dollars. Si vous êtes ouvertement désireux d’embaucher une aide externe sur LinkedIn, vous serez contacté à plusieurs reprises par des entreprises d’externalisation IT, principalement des Balkans ou d’Asie. Les consommateurs de ces services couvrent réellement l’ensemble des tailles d’entreprise, dans tous les secteurs.
J’ai parlé à une douzaine de ces sociétés de services et, malheureusement, très peu ont un plan clair sur la façon de protéger efficacement les données de leurs clients. La plupart des mécanismes de protection tournent autour de la paperasse légale. Bien que cette approche puisse être réconfortante pour les grandes entreprises, il s’agit principalement d’une imposture pour les petites entreprises qui ne peuvent pas vraiment se permettre d’intenter une action en justice, encore moins dans un contexte international.
Comment insuffler la confiance numérique
Sans surprise, la confiance numérique doit rattraper le phénomène de force de travail fluide. En pratique, il existe trois mesures simples que les entreprises de toutes tailles peuvent mettre en place pour protéger code source et données. La facilité d’adoption dépend directement de la manière dont ces mesures peuvent être mises en œuvre, c’est-à-dire de manière rentable et avec un impact minimal sur les opérations.
La mesure numéro un est d’automatiser et de rationaliser le “processus d’embarquement”, i.e. engager un externe et donner accès aux données. Dans le domaine du développement de code et de la science des données, où l’ensemble des composants logiciels nécessaires pour permettre un collaborateur de travailler est assez important, il s’agit d’un problème délicat. Par conséquent, un mécanisme d’embarquement performant et économiquement efficace pour attirer des collaborateurs fluides doit d’abord être mis en place.
Une fois à bord, la deuxième mesure est d’assurer une protection continue des données. C’est un autre problème épineux en raison de l’absence de périmètre informatique d’entreprise classique, e.g. routeur, etc. Pourtant, comme je l’expliquais précédemment, le Cloud est un support efficace pour permettre l’accès à distance. Du point de vue de la sécurité, les clouds publics et privés, par exemple Google GCP, AWS et plus localement Exoscale, leader du cloud en Suisse, ont atteint un niveau de sécurité qui maintient la plupart des cybercriminels au large. Cela a eu pour effet de migrer la surface d’attaque des pirates informatiques vers les utilisateurs. En d’autres termes, le danger lié aux fuites de données se limite principalement aux points d’accès aux données et au comportement du développeur sur son laptop plutôt qu’à un problème de stockage centralisé
Figure: Les environnements de développement cloud sécurisés sont essentiels pour intégrer une main-d’œuvre liquide tout en sécurisant les données lorsqu’elles sont utilisées par les développeurs et lorsqu’elles sont consultées dans le monde entier.
Figure: Les environnements de développement cloud sécurisés sont essentiels pour intégrer une main-d’œuvre liquide tout en sécurisant les données lorsqu’elles sont utilisées par les développeurs et lorsqu’elles sont consultées dans le monde entier.En d’autres termes, auparavant vos serveurs internes auraient pu être ciblés. Désormais, avec une infrastructure informatique basée sur le Cloud, ce sont principalement vos terminaux, c’est-à-dire les ordinateurs portables des développeurs qui sont la proie facile. En effet, il est bien plus facile en pratique de voler un ordinateur portable que de pirater Google. De plus, les activités malveillantes des employés, c’est-à-dire les menaces d’initiés autour du vol de propriété intellectuelle, telles que le code source et les données, deviennent désormais l’une des préoccupations croissantes des entreprises. Cela semble être le résultat de l’adoption trop naïve d’une main-d’œuvre fluide, c’est-à-dire que la fluidité semble également éroder l’éthique de certains employés !
Par conséquent, la confiance numérique pour la main-d’œuvre fluide doit cibler les utilisateurs de l’entreprise avec des technologies telles que le contrôle d’accès zéro confiance (Zero Trust Access Control) et les mécanismes de prévention des pertes de données.
Enfin, la troisième mesure consiste à mettre en place un système d’audit continu et adaptatif qui permet de collecter des événements de sécurité et de conformité sur l’ensemble de l’infrastructure basée sur le Cloud, y compris et en particulier sa périphérie (i.e. les utilisateurs). Le respect des normes de sécurité de l’information telles que ISO 27001 (en particulier les annexes) et SOC-2 est un point de départ pour mettre en place un programme de protection minimalement suffisant. Comme je l’ai mentionné ci-dessus, des technologies telles que le contrôle d’accès Zero Trust et la prévention des pertes de données, en particulier fournies par le cloud, sont quelques-uns des mécanismes qui contribuent à permettre une main-d’œuvre fluide et sécurisée.
Figure : Les événements peuvent être collectés à partir des environnements de développement en nuage sécurisés en temps réel puisqu’ils fonctionnent en ligne.
Comment aborder les défis de la protection des données lors de l’utilisation de développeurs à distance
Le virage vers une main-d’œuvre de développement plus flexible nécessite une approche innovante de la confiance numérique pour intégrer de manière sécurisée les développeurs à distance. Les entreprises peuvent renforcer la sécurité et faciliter cette transition en mettant en œuvre trois mesures clés : (1) simplifier le processus d’intégration, (2) assurer une protection continue des données, et (3) établir un système d’audit robuste.
Premièrement, tirer parti de la tendance du codage en ligne en utilisant les Environnements de Développement Cloud simplifie le processus d’intégration complexe pour les développeurs et les data scientists, le rendant économiquement viable et efficace. Vous pouvez en apprendre plus sur la manière d’intégrer les développeurs à distance dans cette présentation DevOpPro Europe 2023. Cette approche est cruciale pour intégrer sans heurt les développeurs dans le flux de travail.
Deuxièmement, la transition vers une infrastructure informatique basée sur le cloud a déplacé l’accent sur la sécurisation des données aux points d’accès et le suivi des comportements des points de terminaison, car les plateformes cloud comme GCP, AWS et Azure offrent déjà de solides défenses contre les menaces cybernétiques courantes. Ici, les Environnements de Développement Cloud sécurisés jouent un rôle clé dans la protection des données à distance sur le bord du réseau, répondant aux défis nuancés présentés par une main-d’œuvre dispersée.
Enfin, alors que les organisations naviguent dans les complexités de l’intégration sécurisée des développeurs à distance, ces mesures offrent un plan pour sécuriser les actifs numériques tout en répondant aux besoins et aux dynamiques des pratiques informatiques modernes. Le virage vers des solutions basées sur le cloud et la mise en œuvre stratégique de mesures de sécurité soulignent l’évolution de la confiance numérique en tandem avec le phénomène de l’IT liquide, garantissant que la productivité, la sécurité et la conformité peuvent être équilibrées.
À propos de Strong.Network
Strong Network is an award-winning cybersecurity company (runner of Tech4Trust Season 2) providing highly secure workspaces for code development across various industries. The company is dedicated to revolutionizing secure code development by enabling teams to quickly deploy secure development environments. This effort focuses on maintaining the integrity of valuable digital assets while boosting DevOps efficiency