Stratégie

Les 12 plus grands problèmes auxquels doit faire face une DSI

Selon Todd Thibodeaux, président et CEO de CompTIA, les informaticiens aiment leur métier mais veulent des formations pour se perfectionner et évoluer (photo DR).

Retrouvez cet article dans le CIO FOCUS n°153 !

Les tops des bonnes pratiques des DSI américains pour éviter les flops

CIO France traduit régulièrement des articles en provenance de son homologue américain mettant en avant des listes de bonnes pratiques. Ce CIO.Focus réalise une compilation de quelques uns de ces articles tirant des leçons des réalisations des DSI/CIO américains.

Découvrir

De la cybersécurité au datamanagement, les DSI ont plus que leur part de préoccupations qui les empêchent de dormir la nuit.

PublicitéLorsque les DSI ne sont pas submergés par les données, ils se demandent qui les sécurise. Ils font face à la pression de la réduction des coûts tout en essayant de rester agiles face aux difficultés rencontrées par leirs sous-traitants et aux défis liés au transfert des données et de services vers le cloud. Pendant ce temps, de nouvelles menaces émergent qui nécessitent une réponse évolutive.
Qu'il s'agisse de recruter des professionnels qualifiés ou de les éviter, une large gamme de problèmes technologiques ou humains donne des sueurs froides aux professionnels de l'informatique. Nos confrères de CIO US ont recueilli des idées venues d'experts, de la direction, de recruteurs et d'équipes terrain afin d'identifier les préoccupations les plus pressantes d'aujourd'hui et la façon de les gérer.

La sécurité de l'IoT
Une récente étude de Forrester a révélé que 82% des entreprises luttent pour identifier et sécuriser les périphériques connectés au réseau. La plupart ne savent même pas qui est responsable de la gestion de ces appareils. « Plus de la moitié des personnes interrogées (54%) ont déclaré redouter ce sujet de sécurité de l'IoT », indique l'étude.
Csaba Krasznay, évangéliste sécurité chez Balabit, explique qu'avec des éléments faibles traditionnels comme les utilisateurs, les DSI doivent penser à de nouvelles menaces émergentes. « En 2018, explique-t-il, les mesures de sécurité devraient être plus étroitement axées sur les utilisateurs et la question de leur identité. La surveillance comportementale peut détecter les cybercriminels même les plus intelligents qui se cachent derrière des identifiants à privilége, en discernant les déviations dans les comportements de base, même sur la base de traits biométriques minuscules tels que la vitesse de frappe ou les fautes d'orthographe communes ! »

Le recyclage
Environ 40 % des employés disent qu'ils ne disposent pas de la formation dont ils ont besoin pour être efficace dans leur travail, selon un récent sondage CompTIA, organisme américain de certification. « De nombreuses entreprises pensent que le suivi de la technologie et de ses évolutions relève d'une démarche de chaque employé », explique Viktor Andonov de DataArt Bulgaria. « Ce qui était possible dans les années 80 et 90, ne l'est plus au 21ème siècle, la complexité des plateformes a énormément augmenté. La formation sur le tas et le fait d'apprendre à travailler avec de nouveaux cadres est extrêmement difficile lorsque les employés ont des projets en cours très prenants ».
Selon Todd Thibodeaux, président et chef de la direction de CompTIA, la plupart des organisations éprouvent des difficultés à trouver du personnel technique qualifié. Les former rapidement est tout aussi intimidant. « La bonne nouvelle pour les employeurs, c'est que la majorité des professionnels de l'informatique aiment ce qu'ils font », explique Todd Thibodeaux. « Leurs emplois leur procurent un sentiment d'accomplissement personnel. Leurs compétences et leurs talents sont mis à profit. Ils voient des opportunités de croissance et de développement dans leur carrière et ils sont généralement satisfaits de leur rémunération et de leurs avantages ».
La reconversion est un atout considérable, affirme Tod Thibodeaux. « Les professionnels de l'informatique aimeraient avoir plus de ressources pour la formation et plus de possibilités d'orientation professionnelle et d'avancement professionnel. Ils souhaitent également avoir accès à plus d'outils et interagir avec davantage de technologies et d'applications ». Le problème n'est pas nouveau.

PublicitéLa surcharge des données
Les méthodes actuelles d'analyse des données échouent fréquemment à montrer l'impact réel sur l'activité commerciale, remarque Mike Sanchez, CISO de United Data Technologies. « Les cadres dirigeants et les membres du conseil d'administration devraient être en mesure de décider de la meilleure façon d'allouer les ressources et les investissements dans des stratégies de remédiation qui peuvent réduire les dépenses opérationnelles ou le risque réel de l'entreprise, voire les deux. Il y a trop de données disponibles et les gens ne savent pas ce qu'ils devraient suivre pour améliorer leurs positions globales en matière de cybersécurité. Les indicateurs de performance clés doivent indiquer l'histoire dans un format de tableau de bord simple. »

Les manques de compétences
Bonnes nouvelles, le nombre d'offres d'emploi IT continue d'augmenter. Le mauvais ? Il n'y a pas assez d'experts formés avec les compétences nécessaires pour les remplir, en particulier en matière de sécurité. « Notre dernière analyse sur les emplois provenant de diverses sources montre qu'au troisième trimestre de 2017, les employeurs américains ont proposé près de 604 000 emplois dans l' IT », explique Todd Thibodeaux de CompTIA. « En ce qui concerne les emplois liés à la cybersécurité, nous avons comblé l'écart au cours de la dernière année, mais pas autant que ce qui doit être fait. »
Les entreprises vont devoir prendre des décisions difficiles sur la façon de combler les besoins en personnel. « Quelles fonctions pourraient être externalisées auprès d'un fournisseur de solutions technologiques ? se demande ainsi Todd Thibodeaux. « De nombreuses entreprises estiment que la passation des marchés avec un partenaire technologique pour certaines tâches routinières et continues peut libérer des équipes techniques internes pour qu'elles se concentrent sur des activités plus avancées et stratégiques pour l'entreprise.»

Innovation et transformation numérique
Selon les chiffres du Gartner, environ deux tiers des chefs d'entreprise pensent que leurs entreprises doivent accélérer leur transformation numérique ou perdre du terrain face à leurs concurrents. La plupart des entreprises continueront sur la même voie jusqu'à ce qu'elles soient obligées de faire autrement, explique Merrick Olives, directeur-associé de la société de conseil en cloud computing Candid Partners.
« Lier les dépenses informatiques à des capacités commerciales stratégiques et à la compétitivité est essentiel », explique Merrick Olives. « Les modèles de financement basés sur les flux de valeur, par opposition au financement par projet, deviennent de plus en plus efficaces pour satisfaire les objectifs du Comex. Les structures de coûts et l'efficacité des processus legacy par rapport à une capacité agile sont très différentes, l'agilité est moins chère et beaucoup plus efficace ».

Des budgets serrés
Près de la moitié des informaticiens et la même proportion parmi les secteurs d'activité ont déclaré que les budgets constituaient un obstacle à la sécurisation de l'IoT, selon un rapport de Forrester du mois de novembre 2017. Todd Thibodeaux de CompTIA estime que « la question est de savoir si l'entreprise veut grandir et prospérer ou se laisser distancer par ses concurrents. Au fur et à mesure que les entreprises deviennent plus numériques, la technologie passe de l'ombre à la lumière où elle devient le principal moteur pour atteindre les objectifs de long terme. Des professionnels de l'informatique qualifiés, formés et certifiés sont essentiels pour rentabiliser les investissements dans la technologie. Ils ont l'expertise nécessaire pour relier l'architecture informatique aux objectifs généraux de l'entreprise et peuvent fournir les conseils dont les décideurs ont besoin pour rendre des arbitrages lors de la mise au point du projet ».

Trouver de nouvelles sources de revenus
Ian Murray, vice-président de la société de logiciels de gestion des dépenses télécom Tangoe, affirme que même si le paysage des affaires est en constante évolution, le principe de base de la réalisation d'un bénéfice reste le même. Selon Mike Fuhrman, chef de produit chez Peak 10 ViaWest, fournisseur d'infrastructures informatiques hybrides, « ce qui a changé, c'est l'importance accordée à la génération directe de revenus sur le parcours du DSI ».
« Peut-être que je suis old school, mais je ne pense pas que le DSI devrait s'inquiéter de générer directement des revenus », explique Mike Fuhrman. « Je commence à voir cela apparaître de plus en plus parmi mes pairs. Pour rester pertinents en tant que DSI, beaucoup travaillent dans cet objectif. Bien qu'il y ait des avantages à penser de cette façon, cela peut aussi être une manière de dévier de sa trajectoire. La place du DSI est de se concentrer sur ses projets et d'utiliser une plate-forme automatisée à grande échelle. Nous devons rester concentrés sur la réduction des coûts et l'adaptation au marché. Voilà comment un DSI devrait se concentrer sur les revenus. »

La mise à niveau des systèmes legacy
Le cabinet de recrutement Robert Half a édité l'été dernier un rapport qui a révélé que près d'un quart des DSI était préoccupé d'abord par la mise à niveau des systèmes existants pour améliorer l'efficacité. « C'est un élément majeure, en particulier dans plusieurs secteurs où un grand nombre de systèmes obsolètes ou en fin de vie sont encore utilisés pour stocker des données ou des applications stratégiques », explique Mike Sanchez, de United Data Technologies. « Ces systèmes ne sont plus pris en charge par leurs fabricants respectifs et ne peuvent donc plus être corrigés avec la dernière version des mises à jour, laissant ces systèmes vulnérables. Ils peuvent être interconnectés à d'autres réseaux, ce qui permet aux vulnérabilités de s'étendre vers l'extérieur et d'inclure ces systèmes interconnectés dans les attaques ».

Le manque d'agilité
Les organisations qui visent à incorporer des méthodes agiles éprouvent des difficultés et évoluent dans une sorte de modèle hybride qui intègre des pratiques agiles mais aussi des méthodes dites en «cascade» plus linéaires. En bref, le pire des deux mondes. Pour Ian Murray de Tangoe, « les développeurs codent des fiches techniques spécifiques avec peu de compréhension conceptuelle sur la façon dont ce bouton ou cette fonctionnalité s'intègre dans l'expérience globale de l'utilisateur. Une approche disciplinée est nécessaire pour réussir. »
Ian Murray évoque des mises à jour récentes d'Apple iOS, qui corrigeaient certains bugs et en introduisaient d'autres. « Ce problème affecte les entreprises, grandes et petites », explique-t-il, conduisant à des mises à jour qui peuvent corriger les failles de sécurité et inclure de nouvelles fonctionnalités, mais aussi créer des casse-têtes bien connus des utilisateurs.

Les risques d'externalisation
Le déficit de compétences amènera de nombreuses organisations à rechercher une aide extérieure. Mais ces solutions parfois nécessaires peuvent entraîner des problèmes de fiabilité et de sécurité. « Notre objectif principal est de tenir les promesses que nous faisons à chaque client », explique Mike Sanchez. « Vous construisez votre réputation et vos affaires sur ce point critique. En externalisant votre travail, la qualité du livrable est parfois à la merci de l'entreprise sous-traitée. Compte tenu de la nature sensible des projets que nous gérons, nous utilisons des évaluations strictes de fournisseurs tiers pour évaluer les partenaires dans le cas où un projet nous obligerait à envisager d'externaliser certaines, ou toutes les tâches requises. »
En plus des problèmes de qualité, l'externalisation ouvre des menaces de sécurité bien connues. « Les menaces spécifiques, qui devraient être prioritaires pour les DSI, viennent de l'initié et le le sous-traitant », explique French Caldwell, chef évangéliste chez MetricStream et ancien conseiller de la Maison Blanche pour la cybersécurité. « Jusqu'à ce que nous puissions nous passer des mots de passe pour les informations d'identification, les humains continueront à être la plus grande menace. »

Des pièges dans la migration vers le cloud
À mesure que davantage de données et de services sont transférés vers le cloud, un risque potentiel est de considérer celui-ci comme une entité publique unique, déclare Bask Iyer, DSI de VMware et Président de Dell Digital. « L'informatique doit également prendre en compte les solutions cloud et / ou multi-cloud privées pour évaluer ce qui est le mieux adapté à l'activité. Cela garantit le choix et évite le verrouillage par un seul fournisseur. Le service informatique doit également déterminer quelles applications doivent être utilisées et dans quel cloud. Avec la montée en puissance de l'IoT, il faut plus de puissance à la périphérie, de sorte que les services informatiques doivent élargir leurs options pour le cloud ».
Les DSI ne peuvent pas transférer la responsabilité de sécuriser leurs données et leurs applications chez un hébergeur, dit Mike Sanchez. « Les organisations doivent définir des contrôles de sécurité pour protéger leurs données dans le cloud de la même manière qu'ils le font pour leur propre site. De nombreuses organisations n'appliquent pas ces normes et supposent que l'hébergeur fournit toutes les garanties dont elles ont besoin. »

Les multiples vulnérabilités de sécurité
Selon Larry Lunetta, vice-président de la division Aruba de Hewlett-Packard, les cauchemars de sécurité se poursuivront cette année. « Les futurs thèmes d'actualité feront cohabiter des informations d'identification légitimes comme point de départ d'une attaque qui peut prendre des jours, des semaines ou même des mois avant d'émerger et finalement causer des dommages », explique Larry Lunetta. « Ces attaques peuvent commencer par un utilisateur qui clique sur la mauvaise pièce jointe, un employé mécontent qui devient un voyou, ou une suite de mots de passe faibles ou de partage d'informations d'identification entre collègues. »
De nouvelles techniques de détection comportementale seront nécessaires en 2018 pour contrer les menaces. « De plus en plus, les organisations utilisent des systèmes d'analyse comportementale des utilisateurs et des entités pour identifier les petits changements de comportement des utilisateurs et des périphériques connectés au réseau qui sont souvent révélateurs d'une attaque en gestation ».

Paul Hetzel / IDG News Service (traduit et adapté par Didier Barathon)