Stratégie

Comment gérer le risque informatique sans tuer l'innovation

Avant de penser à innover, les DSI doivent réduire les risques dans l'entreprise (photo DR).

Savoir gérer ses risques informatiques permet au DSI d'accompagner l'innovation au lieu de la freiner.

PublicitéCertaines formules restent incontournables dans la technologie: se déplacer rapidement, casser les habitudes, obtenir un minimum de viabilité sur un produit. Ce sont des idées intéressantes, bien sûr, mais pour les utiliser, vous devrez les adapter à votre contexte. Pour les responsables informatiques qui gèrent des entreprises bien établies, le rapport risque-récompense est différent. Des milliers ou des millions de clients dépendent de votre infrastructure. Et si un changement entraîne une baisse de performance sur la plate-forme bancaire en ligne, par exemple, des pertes importantes peuvent survenir.

Alors que le battage médiatique autour des DSI pour qu'ils soient innovants ne fait que s'accentuer, que des transformations numériques sont en cours dans presque tous les secteurs en vue de la croissance du chiffre d'affaires, les dirigeants techniques feraient mieux de ne pas négliger leurs efforts d'innovation. Vous trouverez ci-dessous des conseils sur la façon de réduire les risques auxquels votre entreprise devra faire face pour saisir de nouvelles opportunités, sans pour autant bloquer la capacité de votre organisation à aller de l'avant.

Une sauvegarde non testée n'est pas une sauvegarde

Le premier mot pour atténuer le risque informatique est celui de sécurité. Les piratages continuent de poser un défi important, comme en témoigne la violation d'Equifax en 2017. Ces incidents de grande envergure signifient que la cybersécurité est devenue une priorité absolue, bien financée par de nombreuses organisations. Mais qu'en est-il des sauvegardes ? Supposons que vos programmeurs viennent de trouver une nouvelle façon d'augmenter l'efficacité. Aucun problème ne survient pendant le processus de test, mais une fois que vous mettez en ligne, le processus corrompt inexplicablement vos données. Si vous avez une sauvegarde fiable, vous êtes en sécurité. Mais si vous n'avez pas vérifié la viabilité de vos sauvegardes, votre organisation court un risque important.

« Une sauvegarde non testée n'est pas une sauvegarde. L'infrastructure informatique est constamment modifiée et mise à jour et des changements apparemment sans rapport peuvent affecter les sauvegardes », explique David Colgan, consultant en fiabilité SaaS. « Par le passé, j'ai vu un processus de sauvegarde qui s'est arrêté complètement pendant trois semaines parce que nous avons installé un nouveau paquet de serveur qui a fait planter notre planificateur de sauvegarde sans montrer d'erreurs. Si nous n'avions pas découvert cela, nous aurions été dans un pétrin. Il faut cinq minutes pour vérifier que vos sauvegardes sont toujours en cours d'exécution, et le faire régulièrement peut atténuer un large éventail de modes de défaillance. »

Les outils de surveillance des risques suivent-ils le changement ?

PublicitéLes outils de surveillance jouent un rôle important pour vous tenir informé des risques et des incidents dans votre organisation. Mais ils ont des limites, en particulier lorsque votre environnement change. Si votre organisation a adopté de nouvelles technologies telles que les conteneurs, vos processus de surveillance peuvent rater une source de risque importante.
« De nombreux outils de surveillance informatique, comme les plateformes APM traditionnelles, ne sont pas capables de s'intégrer efficacement aux applications modernes et de comprendre les interdépendances complexes entre les applications et l'infrastructure sous-jacente », explique Antonio Piraino, CTO de ScienceLogic. « Les solutions APM traditionnelles ne vont tout simplement pas assez loin. La montée en puissance de la conteneurisation et des systèmes multi-cloud a énormément contribué à cela et a rendu de nombreux outils de surveillance traditionnels incapables de suivre. »

Méfiez-vous des réglementations émergentes (ex GDPR)

En mai 2018, le règlement général sur la protection des données (GDPR) entrera en vigueur dans l'Union européenne. Avec la perspective de lourdes amendes, le GDPR attire de nombreux spécialistes du marketing et de la technologie. Comment conciliez-vous votre besoin de commercialiser et de faire croître l'entreprise avec les inconnues amenées par ce régime de réglementation ?
Les responsables informatiques peuvent faire face à ce risque en analysant leurs fournisseurs de services, les données actuelles sur les résidents de l'UE et les objectifs commerciaux. Vous pourriez décider d'adopter une approche prudente et sans risque. Prenez Drip, un service de marketing par courriel. Pour les petites entreprises susceptibles de trouver le coût de la conformité prohibitif, Drip propose une solution simple: se désengager des prospects et des clients de l'UE. Cependant, cette approche de désengagement n'élimine pas entièrement les risques car elle repose sur des outils de détection IP et des techniques connexes pour détourner les clients.

Si votre organisation a une tolérance au risque plus élevée ou met davantage l'accent sur la croissance européenne, une approche différente et peut être nécessaire. Comment les responsables informatiques peuvent-ils aider à soutenir ce changement ? Vous pouvez décider d'investir dans des outils de suivi plus puissants pour vous assurer que les données des résidents de l'UE sont correctement suivies. Ou vous pouvez proposer que le département informatique évalue les agences marketing et les outils de l'entreprise afin de déterminer la portée de l'exposition au risque GDPR.

Qu'en est-il de la «surprise OpEx» des services cloud ?

Compte tenu de l'importance des dépenses initiales d'investissement dans les logiciels et dans le matériel sur site, les DSI ont trouvé une solution intéressante dans le modèle de cloud par répartition. Mais l'adoption croissante du cloud signifie que vous devez devenir habile avec ce que Vijay Raghavan, directeur de la technologie chez LexisNexis Risk Solutions, appelle « la surprise OpEx ».

« La possibilité de mettre facilement à l'échelle une application (ou même simplement un pilote de preuve de concept) sur le cloud a des avantages et des inconvénients financiers. L'avantage est qu'un pilote à grande échelle peut être mené dans le nuage sans un énorme investissement initial de CapEx » a ajouté Vijay Raghavan. « Le risque potentiel, si on ne le gère pas soigneusement, est qu'un pilote qui échelonne sur plusieurs milliers de noeuds pendant plusieurs jours peut accumuler des coûts d'exploitation imprévus ou imprévus ». Atténuer ce risque grâce à la gestion des coûts du cloud nécessite une gestion robuste des experts du contrôle informatique.

Le risque de blocage de votre fournisseur

Le risque de blocage des fournisseurs est un défi de longue date en informatique. Le cloud complique le sujet. Les premiers services de cloud computing étaient des services simples comme le stockage de fichiers de base. Dans cette situation, le passage à un nouveau fournisseur est facile à gérer. Cependant, les services cloud plus sophistiqués rendent la commutation difficile, ce qui augmente le risque de verrouillage du fournisseur.
« Regardez Amazon comme un exemple de verrouillage de fournisseur. Il facilite énormément la création et le déploiement de systèmes au sein d'AWS offrant une pléthore d'outils propriétaires AWS pour les développeurs et le personnel de DevOps afin qu'ils prennent soin de leurs applications, il devient facile de se mettre dans une position extrêmement difficile ou coûteuse. Déplacez les applications vers un fournisseur de cloud alternatif si le besoin s'en faisait sentir », explique Vijay Raghavan.

Atténuer le risque de blocage des fournisseurs est difficile. Certaines organisations peuvent choisir d'accepter le risque et en espérer le meilleur ! D'autres peuvent décider de partager leurs opérations entre plusieurs fournisseurs. La gestion de nombreuses relations avec les fournisseurs nécessite plus d'efforts, mais cela peut en valoir la peine.

Les audits informatiques sont toujours vos amis

D'autres parties prenantes peuvent aider à gérer les risques. Les auditeurs, en particulier ceux de l'interne axés sur les risques et les contrôles informatique, peuvent vous aider à rédiger des contrats et à superviser les programmes pour traiter les risques informatiques. Les réponses d'audit aux risques informatiques sont parfois dictées par vos clients finaux.
« Dans notre travail avec les grandes entreprises, nos clients ont leur mot à dire dans la gestion de notre sécurité et de notre conformité. Certains d'entre eux s'inquiètent de notre migration vers AWS », commente Mark Goldin, directeur de la technologie chez Cornerstone OnDemand. « Nous atténuons le risque de plusieurs façons : ajout d'AWS à notre audit, mise à jour de toutes les stratégies et procédures pour inclure les services utilisés par AWS et utilisation de mesures de sécurité, telles que le cryptage avancé, pour renforcer la sécurité dans l'environnement AWS .

Méfiez-vous du risque de menace interne SaaS

Les cadres dirigeants ont un point délicat à régler, celui des utilisateursL'utilisation croissante des services SaaS, personnels et professionnels, augmente la probabilité de perte de données. D'un autre côté, si vous interdisez entièrement les services SaaS, votre personnel peut vous percevoir comme un responsable anti-innovation.
« La menace interne est devenue l'un des plus grands défis pour les entreprises », explique Prakash Linga, CTO de Vera, une plate-forme de sécurité des données pour le suivi et le contrôle de l'accès aux données d'entreprise. « Avec la montée en puissance du SaaS, il est presque impossible pour les entreprises d'empêcher leurs employés et partenaires de prendre des documents d'entreprise avec eux s'ils quittent l'entreprise.»

Prioriser la gouvernance et la qualité des données

Les données volumineuses et l'analyse ne produisent des résultats que si vous disposez de données fiables à utiliser. Le plus grand risque pour l'innovation est de mauvaises données. En tant que telles, les entreprises doivent faire des efforts dès le départ pour s'assurer que les données qu'elles collectent sont de haute qualité et fiables.
Si la qualité des données est médiocre, vos rêves d'analyse ne serviront à rien. Au début, organisez un groupe de travail pour étudier vos problèmes de qualité et de gouvernance des données. Si vous êtes plus loin, nommez un directeur ou un cadre pour être responsable de l'effort.

Bruce Harpham / IDG News Service (adapté par Didier Barathon)