En tant qu’ancien RSI, je réfléchis encore constamment à la manière de s’assurer qu’un système fonctionne de manière optimale et qu’il est exempt de risques. C’est un processus continu qui demande beaucoup d’attention et une bonne compréhension des différentes sources de risques qui peuvent avoir un impact sur la performance du SI en question.
Dans ce billet de blog, j’aborderai les cinq principales sources de risque associées au fonctionnement d’un système d’information, et (en toute humilité) la manière dont il est possible d’identifier et d’atténuer ces risques.
Dette technique ou obsolescence du SI
La première source de risque à considérer est la dette technique, également connue sous le nom d’obsolescence du SI. Il s’agit du coût de la maintenance ou de la mise à jour d’un SI obsolète ou de ses composants. Au fil du temps, les composants d’un SI peuvent devenir obsolètes en raison de l’évolution des technologies ou des besoins de l’entreprise. Cela peut se traduire par de mauvaises performances, des temps d’arrêt du système…et une incompatibilité avec les nouvelles applications (SaaS bonjour !).
Pas de secret, la meilleure façon d’identifier et de réduire la dette technique est de réaliser un audit du SI. Cela aide à identifier les composants obsolètes et à comprendre leur impact sur le système. Il est ensuite possible de travailler avec son responsable de la sécurité de l’information (RSSI) pour déterminer la meilleure marche à suivre pour résoudre le problème. Il peut s’agir de remplacer les composants obsolètes par des composants plus récents, de mettre en œuvre une stratégie de correction ou de migrer vers un système plus récent.
La gestion des risques liée à la phase d’exploitation du système d’information s’appuie également sur sa supervision en termes d’architecture, de flux aussi bien que de sécurité. Autrement dit, il s’agit d’un travail de chaque instant. Et on sait qu’à ce niveau-là, les « coordonniers IT » sont souvent les plus mal chaussés.
Cybersécurité
Le deuxième risque associé à la gestion d’un SI est, bien entendu, la cybersécurité. Dans le monde d’aujourd’hui, les cybermenaces sont de plus en plus sophistiquées et dommageables. Les pirates informatiques et les acteurs malveillants sont toujours à la recherche de faiblesses dans un système et peuvent causer de graves dommages s’ils parviennent à y accéder.
La meilleure façon de protéger un SI contre les cybermenaces est de mettre en œuvre une stratégie de sécurité complète. Pas question de faire les choses à moitié, cela reviendrait à ne porter qu’un bonnet pour vous protéger du froid hivernal…en oubliant sciemment la doudoune, les gants et les chaussettes. Exemple douteux vous en jugerez, mais l’analogie me semble claire.
Celle stratégie globale doit notamment inclure l’authentification à deux facteurs, le cryptage, un logiciel antivirus et des analyses de sécurité régulières. Il faut également s’assurer que les utilisateurs du SI sont correctement formés aux bonnes pratiques de sécurité (et les appliquent) et que toutes les données sont stockées en toute sécurité.
Risques physiques
La troisième source de risque qu’il faut prendre en compte est « les risques physiques ». Il s’agit des risques associés à l’environnement physique et au matériel dans lequel un SI fonctionne. Par exemple, si mon serveur est situé dans une zone inondable, il risque d’être endommagé lors d’une inondation. De plus, une défaillance matérielle peut rendre mon système instable ou l’arrêter complètement.
Pour atténuer les risques physiques, pas de surprise, il faut s’assurer que son serveur est situé dans un environnement sûr et qu’il est correctement entretenu. Il est également impératif de mettre en place un plan d’évaluation des risques afin d’identifier les risques potentiels…et un plan d’action pour y remédier.
Pénurie de talents et perte de connaissances
Le quatrième risque qu’il faut prendre en compte est la fameuse « pénurie de talents » et la perte de connaissances, dont on parle tant ces dernières années. Avec l’évolution de la technologie, les compétences et les connaissances nécessaires pour gérer et maintenir un SI peuvent devenir obsolètes. Cela peut entraîner une pénurie de personnel qualifié pour effectuer les tâches et un manque de compréhension des opérations du système.
Pour faire face à ce risque, il faut s’assurer que son équipe est au courant des dernières technologies et des meilleures pratiques. Investir dans des programmes de formation et de développement pour aider son équipe à rester à jour, est donc généralement une très bonne idée.
Comportements et erreurs humaines
La cinquième et dernière source de risque à prendre en compte est le comportement humain et les erreurs. Il s’agit des erreurs commises par les employés lors de l’utilisation du SI, comme la saisie de données incorrectes ou la vulnérabilité du système à une attaque. Il s’agit également des comportements malveillants, comme le vol de données ou l’endommagement délibéré du système (c’est rare, mais d’expérience, ça peut arriver).
Pour atténuer ce risque, il est nécessaire de créer une culture de la responsabilité et de l’obligation de rendre des comptes au sein de son équipe. Encore une fois, il faut également s’assurer que les utilisateurs sont correctement formés à l’utilisation du SI et que les protocoles de sécurité nécessaires sont en place pour protéger le système.
Pour conclure, il est important pour un responsable du SI d’être conscient des différentes sources de risque associées à l’exploitation de son système. En comprenant ces risques et en prenant les mesures nécessaires pour les atténuer, il est ainsi possible de s’assurer que le système fonctionne de manière optimale et est exempt de (quasi) toute menace potentielle. Mais la tâche est ardue, je le concède. Je ne saurais donc que trop vous conseiller de vous rapprocher d’un prestataire externe. Être accompagné pour mieux piloter l’obsolescence de son système d’information, c’est s’assuré d’être correctement protégé contre les incidents.