Gestion des risques technologiques

Introduction

Commençons par un exemple choquant qui nous montre à quel point un incident inattendu lié aux risques informatiques peut avoir un impact catastrophique, comme c’est le cas de la compagnie aérienne Comair, filiale de Delta Air Lines. Au cours d’un mois de décembre chargé, le système d’affectation des équipages de Comair est tombé en panne, car il n’était en mesure de gérer qu’un certain nombre de changements par mois. Le système s’est soudainement arrêté, laissant près de 200 000 passagers au sol sur l’ensemble des États-Unis à l’approche de Noël. Les pertes de recettes découlant directement de cet incident sont estimées à 20 millions de dollars.

Un inventaire de l’AE à jour vous apporte des informations sur l’ensemble de vos applications, ainsi que les technologies sur lesquelles elles s’appuient. Il vous aide à évaluer les applications susceptibles de courir un risque en raison d’un arrêt de la prise en charge de ses composants informatiques sous-jacents, et vous offre une traçabilité de vos normes technologiques. Les incidents qui se produisent en raison de l’absence de prise en charge des composants technologiques coûteront en moyenne 600 000 euros aux entreprises

Ce guide vous permet de découvrir comment éviter cette situation.

Ce qu’il faut savoir sur les risques technologiques

La plupart des entreprises ont plus de facilités à introduire de nouvelles technologies qu’à s’en séparer. L’utilisation d’une technologie non prise en charge peut s’avérer onéreuse. Le coût des pannes informatiques et des fuites de données se chiffre en millions. Lorsqu’une technologie arrive en fin de vie, la gestion du service informatique doit relever des défis comme les problèmes d’intégration, les fonctionnalités limitées, les faibles niveaux de service, le manque de compétences disponibles et l’absence de support de la part des fournisseurs.

Les vingt fournisseurs de technologies principaux fournissent à eux seuls plus d’un million de produits technologiques différents. Les informations liées à ces produits, telles que les cycles de vie, peuvent changer tous les jours.

La plupart des entreprises ont plus de facilités à introduire une nouvelle technologie qu’à s’en séparer. 67 % des DSI estiment que leur gestion des risques technologiques est inefficace.

Si vous cherchez une manière de réaliser une évaluation des risques technologiques, vous connaissez déjà cette histoire. C’est pour cette raison que nous avons créé un guide ultime de l’évaluation des risques technologiques.

L’évolution du paysage des risques technologiques est très rapide, principalement en raison des technologies émergentes comme la blockchain, ou de nouvelles méthodes telles que les microservices. Si les risques ne sont pas gérés correctement, ils aggraveront les risques informatiques et, par conséquent, entraîneront une augmentation des risques pour l’ensemble de l’entreprise.

Selon l’enquête sur la gestion des risques technologiques de KPMG, la gestion des risques technologiques doit évoluer afin d’être prête pour ce nouveau monde effréné et disruptif. De nombreuses organisations qui opèrent à l’ère numérique ne prennent pas en compte les risques technologiques comme source de valeur et restent bloquées dans des approches traditionnelles et orientées vers la conformité (mesures qualitatives statiques, prises de décisions en réaction aux risques et manque d’innovation), qui n’offrent pas le meilleur contrôle possible des biens technologiques, des processus et des personnes.

Savez-vous que 72 % des organisations affectent des équipes de gestion des risques technologiques à des projets seulement une fois que des problèmes liés aux risques technologiques sont déjà apparus, et que 47 % adoptent des technologies, comme des applications et des appareils mobiles, sans même les inclure dans les évaluations des risques ?

Avantages des évaluations des risques technologiques

Parmi les divers avantages de ces évaluations, citons :

Réduction des coûts

Découvrez quelles sont les meilleures technologies en évaluant l’adéquation fonctionnelle de chaque composant informatique et la sensibilité pour l’entreprise. Ceci vous permet d’opter pour une norme sur un ensemble de régions ou de bureaux, ce qui réduit le nombre d’applications et/ou de technologies redondantes. Par exemple, pourquoi utiliser Oracle et MySQL ?

Nous payerions pour les deux applications alors que l’une des deux pourrait être déployée sur l’ensemble de l’organisation.

Réduction des risques

Que se passe-t-il si la mise à jour de notre logiciel n’a pas été effectuée à la dernière version ? Ou pire, pourquoi utilisons-nous cinq versions différentes ? Une technologie sous-jacente pourrait en être la raison. D’autres applications dépendant d’une application sous-jacente pourraient conduire à un effet « boule de neige » des erreurs sur l’ensemble de l’organisation. Il est impératif d’identifier et de comprendre les technologies sous-jacentes existantes, leurs cycles de vie et toutes les dépendances logicielles.

Image 1 : Matrice des composants informatiques montrant le cycle de vie des composants informatiques par rapport à leurs fournisseurs et leurs piles technologiques.

Augmentation de l’agilité

La normalisation est l’un des sujets les plus épineux pour les entreprises. Si des normes claires ne sont pas définies, les choses deviennent vite chaotiques. Une fois ces normes définies, il convient également de s’assurer qu’elles sont suivies. Idéalement, il ne devrait pas être nécessaire de réaliser des évaluations en porte-à-porte, par exemple dans quelle mesure les acteurs adhèrent aux normes de sécurité informatique. Pour le constater, nous recommandons de recourir à des enquêtes. Vous pouvez utiliser un outil comme Surveymonkey ou la fonction LeanIX Survey, qui importe automatiquement toutes les réponses dans l’outil et les prépare à l’évaluation.

Image 2 : Sondage LeanIX présentant la manière de réaliser efficacement une évaluation de la sécurité informatique

Comment réaliser une évaluation des risques technologiques

Maintenant que nous avons énoncé les avantages, vous voudrez certainement savoir quelles sont les étapes permettant de créer une évaluation minutieuse de la technologie.

Voici nos recommandations :

Obtenez une liste complète des applications que vous utilisez

Avec un peu de chance, vous avez documenté vos applications au cours de l’année passée. Si ce n’est pas le cas, je vous conseille de commencer par lire nos 9 règles et directives autour de la rationalisation des applications.

Sans une vue d’ensemble de votre cartographie actuelle des applications, une évaluation des technologies n’a aucun sens. Vous ne commenceriez pas à cuisiner un gâteau sans connaître la liste des ingrédients, n’est-ce pas ? La première étape est d’établir une liste de toutes les applications que vous utilisez actuellement dans votre entreprise.

Évaluez les versions des logiciels que vous utilisez

L’étape suivante est de vous renseigner sur les versions des logiciels utilisés.

Une bonne pratique serait d’utiliser une pile technologique pour regrouper vos logiciels. Vous pouvez également étiqueter vos logiciels (manuellement ou en utilisant les étiquettes LeanIX prêtes à l’emploi) afin de les référencer à l’avenir. Dans la capture d’écran ci-dessous, vous pouvez remarquer que nous les avons étiquetés via le modèle Entrant, Principal, Exception, Déclin.

Évaluez les serveurs et les centres de données utilisés

Cette étape est semblable aux précédentes. Nous recommandons à nouveau d’attribuer une pile technologique à chaque serveur et chaque centre de données.

Il convient également de vérifier les données au cours de cette étape. Vous pouvez par exemple vérifier où sont situés vos serveurs en utilisant un rapport de localisation des composants informatiques.

Image 3 : Rapport illustrant l’emplacement des composants informatiques.

Reliez les logiciels et les serveurs aux applications

Après avoir recueilli et vérifié toutes les données au cours des étapes précédentes, il est maintenant important de créer la liaison entre les logiciels, les serveurs et les applications. Ceci vous permettra plus tard de comprendre les dépendances entre ces objets et donc d’éviter les situations comme celle que nous avons décrite précédemment.

Image 4 : Rapport schématique représentant les dépendances entre une application, ses composants informatiques et ses piles techniques.

Découvrez comment la technologie affecte votre entreprise

Vous êtes arrivé(e) à l’étape finale. Il est maintenant temps de voir ce que les risques technologiques signifient réellement pour votre entreprise. Il est temps d’assembler les pièces du puzzle, nous pouvons maintenant les utiliser pour savoir où sont hébergées les applications qui utilisent certaines versions des logiciels.

Étude approfondie : Gestion de la fin de vie

L’un des facteurs les plus importants dans la gestion des risques technologiques est la gestion de la fin de vie.

Qu’est-ce que cela signifie ? Les entreprises qui ne font pas attention aux technologies déployées sur le point de devenir obsolètes s’exposent à un plus grand nombre de risques de sécurité et de vulnérabilités que les entreprises qui surveillent de près la fin du cycle de vie des éléments qui composent leur cartographie des ressources informatiques. De plus, le fait de continuer d’utiliser du matériel ou des logiciels qui ne sont plus pris en charge permet aux cybercriminels d’accéder plus facilement à des systèmes et des données.

Ce sujet essentiel est souvent négligé, même par des organismes gouvernementaux qui ne sont pas à l’abri. Les auditeurs du gouvernement des États-Unis ont fortement critiqué l’Internal Revenue Service (IRS) en 2015 pour avoir manqué l’échéance de mise à niveau des PC sous Windows XP et des serveurs des centres de données fonctionnant sous Windows Server 2003, deux versions qui ont été abandonnées par Microsoft. Neuf mois après la sortie de Windows XP de la liste de prise en charge de Microsoft, l’agence ne pouvait plus compter sur plus de 1300 PC, soit 1 % du nombre total. Elle ne pouvait ainsi pas dire si l’ancien système d’exploitation avait été retiré. L’IRS a également dû payer pour que Microsoft fournisse des contrats d’assistance post-retrait avec des mises à jour de sécurité critiques.

Figure 5 - Impact de l’obsolescence des technologies sur l’entreprise.

Étude approfondie : Conformité

Les entreprises doivent respecter de nombreuses réglementations, allant de HIPAA à PCI et FISMA. Même si la conformité a un coût en termes de technologie et nécessite une vue précise des applications et des technologies, le coût de la non-conformité est généralement plus élevé. D’une manière générale, les experts indiquent que le coût de la non-conformité est 2,5 fois plus élevé que celui de la conformité.

Un inventaire de l’AE à jour ne fournit pas seulement des données fiables que vous pouvez utiliser afin de documenter votre conformité aux réglementations. L’extension LeanIX Survey peut également vous aider à créer des enquêtes ponctuelles ou régulières pour l’équipe concernée afin de conserver des informations précises, par exemple l’utilisation de données sensibles par les applications.

Le RGPD est par exemple un cas d’usage actuel : nous pouvons évaluer nos données pour déterminer leur degré de sensibilité à la confidentialité, en les catégorisant comme publiques/non classées, sensibles, restreintes ou confidentielles. Si vous utilisez un outil de gestion de l’architecture d’entreprise professionnel comme LeanIX, vous pouvez utiliser des étiquettes pour ajouter des attributs supplémentaires (par ex. « restreint RGPD ») à un objet de données ou à une application. Cette procédure fait généralement déjà partie de vos processus de sécurité internes, dans lesquels vous affectez des attributs tels que la confidentialité, l’intégrité ou la disponibilité des données.

Étude approfondie : Complexité

La complexité est l’ennemi de la sécurité. Quand il est question d’abandonner une ancienne technologie, les DSI doivent étudier soigneusement deux aspects. D’un côté, ils doivent rester vigilants. Ils doivent avant tout s’assurer que les services informatiques fonctionnent bien. Un proverbe dit « Si ce n’est pas cassé, ne le répare pas », mais ce vieil adage n’a pas été écrit en ayant la transformation numérique à l’esprit. Il y a bien sûr une part de vérité dans ce dicton, car une mise à niveau vers une technologie plus récente s’accompagne généralement d’une interruption, mais le statu quo entraîne souvent une augmentation de la complexité.

Figure 6 : Tableau de bord LeanIX illustrant les applications qui présentent un risque en raison de la fin de cycle de vie des composants informatiques sous-jacents.

L’obsolescence et la maintenance du matériel, tout comme la sécurité, font partie des problèmes les plus importants rencontrés actuellement par les organisations en termes de technologie de l’information. L’une des erreurs les plus coûteuses commises par de nombreuses entreprises est de ne pas planifier le futur des technologies.

Conclusion