LE GUIDE ULTIME

Gestion des risques technologiques

Le risque technologique peut être défini comme le potentiel de défaillances technologiques qui interrompent votre activité, comme les incidents de sécurité des informations ou les interruptions de service.1

Introduction à la gestion des risques technologiques

Commençons par un exemple choquant qui nous montre à quel point un incident lié au risque d’emballement des TI peut avoir un impact catastrophique, comme c’est le cas de la compagnie aérienne Comair, filiale de Delta Air Lines. Au cours d’un mois de décembre chargé, le système d’affectation des équipages de Comair est tombé en panne, car il n’était en mesure de gérer qu’un certain nombre de changements par mois. Le système s’est soudainement arrêté, laissant près de 200 000 passagers au sol sur l’ensemble des États-Unis à l’approche de Noël. Les pertes de recettes découlant directement de cet incident sont estimées à 20 millions de dollars. Un inventaire de l’AE à jour vous apporte des informations concernant l’ensemble de vos applications, ainsi que les technologies sur lesquelles elles se reposent. Il vous aide à évaluer les applications susceptibles de courir un risque en raison d’un arrêt de la prise en charge de ses composants informatiques sous-jacents, et vous offre une traçabilité de vos normes technologiques. Les incidents qui se produisent en raison de l’absence de prise en charge des composants technologiques coûteront en moyenne 600 000 euros aux entreprises.

Ce guide ultime vous permet de découvrir comment éviter cette situation.

Ce qu’il faut savoir sur les risques technologiques

La plupart des entreprises ont plus de facilités à introduire de nouvelles technologies qu’à s’en séparer. L’utilisation d’une technologie non prise en charge peut s’avérer onéreuse. Le coût des pannes informatiques et des fuites de données se chiffre en millions. Lorsqu’une technologie arrive en fin de vie, la gestion du service informatique doit relever des défis comme les problèmes d’intégration, les fonctionnalités limitées, les faibles niveaux de service, le manque de compétences disponibles et l’absence de support de la part des fournisseurs.

Les vingt fournisseurs de technologies principaux fournissent à eux seuls plus d’un million de produits technologiques différents. Les informations liées à ces produits, telles que les cycles de vie, peuvent changer tous les jours.

La plupart des entreprises ont plus de facilités à introduire une nouvelle technologie qu’à s’en séparer. 67 % des DSI estiment que leur gestion des risques technologiques est inefficace.

 

Si vous cherchez une manière de réaliser une évaluation des risques technologiques, vous connaissez déjà cette histoire. C’est pour cette raison que nous avons créé un guide ultime de l’évaluation des risques technologiques.

L’évolution du paysage des risques technologiques est très rapide, principalement en raison des technologies émergentes comme la blockchain, ou de nouvelles méthodes telles que les microservices. Si les risques ne sont pas gérés correctement, ils aggraveront les risques informatiques et, par conséquent, entraîneront une augmentation des risques pour l’ensemble de l’entreprise.

Selon l’enquête sur la gestion des risques technologiques de KPMG, la gestion des risques technologiques doit évoluer afin d’être prête pour ce nouveau monde effréné et disruptif. De nombreuses organisations qui opèrent à l’ère numérique ne prennent pas en compte les risques technologiques comme source de valeur et restent bloquées dans des approches traditionnelles et orientées vers la conformité (mesures qualitatives statiques, prises de décisions en réaction aux risques et manque d’innovation), qui n’offrent pas le meilleur contrôle possible des biens technologiques, des processus et des personnes.

Savez-vous que 72 % des organisations affectent des équipes de gestion des risques technologiques à des projets seulement une fois que des problèmes liés aux risques technologiques sont déjà apparus, et que 47 % adoptent des technologies, comme des applications et des appareils mobiles, sans même les inclure dans les évaluations des risques ?

Avantages des évaluations des risques technologiques

Parmi les divers avantages de ces évaluations, citons :

Réduction des coûts

Découvrez quelles sont les meilleures technologies en évaluant l’adéquation fonctionnelle de chaque composant informatique et la sensibilité pour l’entreprise. Ceci vous permet d’opter pour une norme sur un ensemble de régions ou de bureaux, ce qui réduit le nombre d’applications et/ou de technologies redondantes. Par exemple, pourquoi utiliser Oracle et MySQL ?

Nous payerions pour les deux applications alors que l’une des deux pourrait être déployée sur l’ensemble de l’organisation.

Réduction des risques

Que se passe-t-il si la mise à jour de notre logiciel n’a pas été effectuée à la dernière version ? Ou pire, pourquoi utilisons-nous cinq versions différentes ? Une technologie sous-jacente pourrait en être la raison. D’autres applications dépendant d’une application sous-jacente pourraient conduire à un effet « boule de neige » des erreurs sur l’ensemble de l’organisation. Il est impératif d’identifier et de comprendre les technologies sous-jacentes existantes, leurs cycles de vie et toutes les dépendances logicielles.

techrisk-apps-at-risk-8-Col-XL@3x
Image 1 : Matrice des composants informatiques montrant le cycle de vie des composants informatiques en ce qui concerne leurs fournisseurs et leurs piles technologiques.

Augmentation de l’agilité

La normalisation est l’un des sujets les plus épineux pour les entreprises. Si des normes claires ne sont pas définies, les choses deviennent vite chaotiques. Une fois ces normes définies, il convient également de s’assurer qu’elles sont suivies. Idéalement, il ne devrait pas être nécessaire de réaliser des évaluations en porte-à-porte, par exemple dans quelle mesure les acteurs adhèrent aux normes de sécurité informatique. Pour le constater, nous recommandons de recourir à des enquêtes. Vous pouvez utiliser un outil comme Surveymonkey ou la fonction LeanIX Survey, qui importe automatiquement toutes les réponses dans l’outil et les prépare à l’évaluation.create-survey-8-Col-XL

Image 2 : LeanIX Survey présentant la manière de réaliser efficacement une évaluation de la sécurité informatique

Best Practices to Define Technology Stacks

Poster

Best Practices to Define Technology Stacks

This poster leverages visual technology stack examples to enable you to create the perfect tech. stack for your organization.

Best Practice Technology Stacks for Small, Medium, & Large Companies

Presentation

Best Practice Technology Stacks for Small, Medium, & Large Companies

Categorizing IT Components can enable smarter analytics and priorities. Organize your technology from lean to detailed with these three templates.

Integrate EA and ITSM with the LeanIX ServiceNow Integration

Poster

Integrate EA and ITSM with the LeanIX ServiceNow Integration

This poster illustrates how we bridge the gap between Enterprise Architecture (EA) and IT Service Management (ITSM).

Comment réaliser une évaluation des risques technologiques

Maintenant que nous avons énoncé les avantages, vous voudrez certainement savoir quelles sont les étapes permettant de créer une évaluation minutieuse de la technologie.

Voici nos recommandations :

Obtenez une liste complète des applications que vous utilisez

Avec un peu de chance, vous avez documenté vos applications au cours de l’année passée. Si ce n’est pas le cas, je vous conseille de commencer par lire nos 9 règles et directives autour de la rationalisation des applications.

Sans une vue d’ensemble de votre cartographie actuelle des applications, une évaluation des technologies n’a aucun sens. Vous ne commenceriez pas à cuisiner un gâteau sans connaître la liste des ingrédients, n’est-ce pas ? La première étape est d’établir une liste de toutes les applications que vous utilisez actuellement dans votre entreprise.

Évaluez les versions des logiciels que vous utilisez

L’étape suivante est de vous renseigner sur les versions des logiciels utilisés.

Une bonne pratique serait d’utiliser une pile technologique pour regrouper vos logiciels. Vous pouvez également étiqueter vos logiciels (manuellement ou en utilisant les étiquettes LeanIX prêtes à l’emploi) afin de les référencer à l’avenir. Dans la capture d’écran ci-dessous, vous pouvez remarquer que nous les avons étiquetés via le modèle Entrant, Principal, Exception, Déclin.

Évaluer les serveurs et les centres de données utilisés

Cette étape est semblable aux précédentes. Nous recommandons à nouveau d’attribuer une pile technologique à chaque serveur et chaque centre de données.

Il convient également de vérifier les données au cours de cette étape. Vous pouvez par exemple vérifier où sont situés vos serveurs en utilisant un rapport de localisation des composants informatiques.
ia-countrymap-8-Col-XL

Image 3 : Rapport illustrant l’emplacement des composants informatiques.

Relier les logiciels et les serveurs aux applications

Après avoir recueilli et vérifié toutes les données au cours des étapes précédentes, il est maintenant important de créer la liaison entre les logiciels, les serveurs et les applications. Ceci vous permettra plus tard de comprendre les dépendances entre ces objets et donc d’éviter les situations comme celle que nous avons décrite précédemment.

ia-information-flow-8-Col-XL

Image 4 : Rapport schématique libre présentant les dépendances entre une application, ses composants informatiques et ses piles techniques.

 

Découvrez comment la technologie affecte votre entreprise

Vous êtes arrivé(e) à l’étape finale. Il est maintenant temps de voir ce que les risques technologiques signifient réellement pour votre entreprise. Il est temps d’assembler les pièces du puzzle, nous pouvons maintenant les utiliser pour savoir où sont hébergées les applications qui utilisent certaines versions des logiciels.

 

Étude approfondie : gestion de la fin de vie

L’un des facteurs les plus importants dans la gestion des risques technologiques est la gestion de la fin de vie.

Qu’est-ce que cela signifie ? Les entreprises qui ne font pas attention aux technologies déployées sur le point de devenir obsolètes s’exposent à un plus grand nombre de risques de sécurité et de vulnérabilités que les entreprises qui surveillent de près la fin du cycle de vie des éléments qui composent leur cartographie des ressources informatiques. De plus, le fait de continuer d’utiliser du matériel ou des logiciels qui ne sont plus pris en charge permet aux cybercriminels d’accéder plus facilement à des systèmes et des données.

Ce sujet essentiel est souvent négligé, même par des organismes gouvernementaux qui ne sont pas à l’abri. Les auditeurs du gouvernement des États-Unis ont fortement critiqué l’Internal Revenue Service (IRS) en 2015 pour avoir manqué l’échéance de mise à niveau des PC sous Windows XP et des serveurs des centres de données fonctionnant sous Windows Server 2003, deux versions qui ont été abandonnées par Microsoft. Neuf mois après la sortie de Windows XP de la liste de prise en charge de Microsoft, l’agence ne pouvait plus compter sur plus de 1300 PC, soit 1 % du nombre total. Elle ne pouvait ainsi pas dire si l’ancien système d’exploitation avait été retiré. L’IRS a également dû payer pour que Microsoft fournisse des contrats d’assistance post-retrait avec des mises à jour de sécurité critiques.

Business impact of technology obsolescence.
Figure 5 - Impact de l’obsolescence des technologies sur l’entreprise.

Étude approfondie : Conformité

Les entreprises doivent respecter de nombreuses réglementations, allant de HIPAA à PCI et FISMA. Même si la conformité a un coût en termes de technologie et nécessite une vue précise des applications et des technologies, le coût de la non-conformité est généralement plus élevé. D’une manière générale, les experts indiquent que le coût de la non-conformité est 2,5 fois plus élevé que celui de la conformité.

Un inventaire de l’AE à jour ne fournit pas seulement des données fiables que vous pouvez utiliser afin de documenter votre conformité aux réglementations. L’extension LeanIX Survey peut également vous aider à créer des enquêtes ponctuelles ou régulières pour l’équipe concernée afin de conserver des informations précises, par exemple l’utilisation de données sensibles par les applications.

Le RGPD est par exemple un cas d’usage actuel : nous pouvons évaluer nos données pour déterminer leur degré de sensibilité à la confidentialité, en les catégorisant comme publiques/non classées, sensibles, restreintes ou confidentielles. Si vous utilisez un outil de gestion de l’architecture d’entreprise professionnel comme LeanIX, vous pouvez utiliser des étiquettes pour ajouter des attributs supplémentaires (par ex. « restreint RGPD ») à un objet de données ou à une application. Cette procédure fait généralement déjà partie de vos processus de sécurité internes, dans lesquels vous affectez des attributs tels que la confidentialité, l’intégrité ou la disponibilité des données.

Obtenez davantage d’informations sur cette modélisation ici.

Étude approfondie : Complexité

La complexité est l’ennemi de la sécurité. Quand il est question d’abandonner une ancienne technologie, les DSI doivent étudier soigneusement deux aspects. D’un côté, ils doivent rester vigilants. Ils doivent avant tout s’assurer que les services informatiques fonctionnent bien. Un proverbe dit « Si ce n’est pas cassé, ne le répare pas », mais ce vieil adage n’a pas été écrit en ayant la transformation numérique à l’esprit. Il y a bien sûr une part de vérité dans ce dicton, car une mise à niveau vers une technologie plus récente s’accompagne généralement d’une interruption, mais le statu quo entraîne souvent une augmentation de la complexité.

landscape-techrisk-7-Col-XL@3x
Figure 6 : Le tableau de bord LeanIX illustre les applications qui présentent un risque en raison de la fin de cycle de vie des composants informatiques sous-jacents.

L’obsolescence et la maintenance du matériel, tout comme la sécurité, font partie des problèmes les plus importants rencontrés actuellement par les organisations en termes de technologie de l’information. L’une des erreurs les plus coûteuses commises par de nombreuses entreprises est de ne pas planifier le futur des technologies.

Conclusion :

La plupart des entreprises ont plus de facilités à introduire de nouvelles technologies qu’à s’en séparer. L’utilisation d’une technologie non prise en charge peut s’avérer onéreuse. Le coût des pannes informatiques et des fuites de données se chiffre en millions.
La gestion des risques technologiques est un sujet vaste et complexe qui ne peut pas être abordé par une maintenance manuelle des données, quelle que soit la qualité de votre équipe. Grâce au logiciel LeanIX, les architectes d’entreprise peuvent rapidement obtenir des informations à jour sur les produits technologiques. Ces informations sont essentielles pour évaluer les risques d’une cartographie des applications et pour planifier, gérer et abandonner les composants technologiques d’une manière intelligente.

Obtenez votre exemplaire gratuit

Landing Page-WP-Nine Use Cases@1x

Réponses aux questions fréquemment posées sur la gestion des risques technologiques

Qu’est-ce que le Technology Risk Management ?

Le Technology risk management est l’application de méthodes de gestion des risques aux technologies de l’information afin de minimiser ou de gérer les risques informatiques. La gestion des risques technologiques va de pair avec la gestion du portefeuille des applications, mais elle prend en compte davantage de facteurs, comme la sensibilité de l’entreprise, l’adéquation fonctionnelle et l’adéquation technique.

Quels sont les avantages des évaluations des risques technologiques ?

En réalisant des évaluations des risques technologiques, votre entreprise bénéficie directement d’une réduction des coûts et des risques, et d’une amélioration de l’agilité de l’entreprise. Ceci augmente votre compétitivité dans un marché toujours plus numérique et en évolution rapide.

Comment réaliser une évaluation des risques technologiques ?

  1. Obtenir une liste complète des applications que vous utilisez
  2. Évaluer les versions de logiciels que vous utilisez
  3. Évaluer les serveurs et les centres de données utilisés
  4. Relier les logiciels et les serveurs aux applications
  5. Découvrez comment la technologie affecte notre entreprise