Les attaques par ransomware ont été multipliées par quatre en un an, selon l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Une activité criminelle ravivée par la crise sanitaire et le recours massif aux outils en ligne de télétravail. Face à ces menaces, les entreprises doivent adapter leur stratégie de sécurité, mais pas seulement. C’est toute la gouvernance qui doit être repensée. Henri Puissant*, spécialiste de l’organisation des SI et Yann-Eric Devars*, consultant en architecture d’entreprise, tous deux formateurs ORSYS, nous apportent leur expertise pour entamer cette transformation des systèmes et des pratiques.
Si l’entrée massive des entreprises dans la cybersphère ouvre de nouveaux horizons et donne lieu à de nombreuses innovations, elle met à l’épreuve la gouvernance des entreprises, notamment en matière de sécurité. Après les vols de données, les ransomwares (hôpitaux, administrations, entreprises), le cyberespionnage (affaire SolarWinds, etc.), les attaques d’infrastructures (eau potable d’Oldsmar, etc.), les dirigeants des pays, des administrations, des entreprises mesurent la fragilité de leurs organisations et prennent conscience, ou bien sont poussés à prendre conscience par les autorités, de la nécessité de maîtriser l’architecture de leurs organisations et systèmes d’information.
La gouvernance des états bouleversée par les cybermenaces
Au tournant des années 90, tel Christophe Colomb abordant l’Amérique, Timothy John Berners-Lee, en créant le World Wide Web, prenait pied dans la cybersphère. Il n’imaginait pas le sort qu’il serait fait de sa découverte : émergence des GAFA, Cambridge Analytica, ransomwares, etc.
58 ans après la découverte de l’Amérique, Charles Quint réunissait à Valladolid des juristes et des théologiens pour déterminer des règles de colonisation, c’est-à-dire la manière dont les Indiens pouvaient être soumis et convertis. De même, 30 ans après la découverte du web, Sir Timothy John Berners-Lee, longtemps président du W3C, régulateur technique du Web, promeut un contrat proposant des règles comportementales aux acteurs du web afin que celui-ci reste un bien public au service de l’humanité.
À Valladolid rien n’avait réellement été tranché entre éthique et intérêt. Il est à craindre qu’il en sera de même de l’initiative de Sir Timothy John Berners-Lee et que de nouveaux équilibres doivent s’établir avec le temps. Les états ont beaucoup de mal à établir des lois et réguler Internet qui les dépasse. Déjà, ils y affrontent des cyberattaques : l’Estonie attaquée par déni de service, l’Iran et l’affaire des centrifugeuses, les USA et l’affaire SolarWinds, pour n’en citer que quelques-unes. Les états se dotent de moyens de défense, imposent des contraintes à certains domaines d’activité (santé, énergie, alimentation, gestion de l’eau…) et désignent ainsi des Opérateurs d’Importance Vitale (OIV) afin de préserver leur fonctionnement et leurs citoyens.
La gouvernance des entreprises touchée à son tour par la cybercriminalité
Comme pour les états, la navigation des entreprises vers ces nouveaux horizons est dangereuse. À la barre des entreprises, les dirigeants doivent faire face à de véritables tempêtes. Selon l’académicien Michel Serres, « gouverner » c’est savoir d’où on vient, par où on est passé, où on est et, par conséquent, bien connaître le livre de bord et l’état du navire. Mais c’est aussi savoir vers où l’on va et adapter son parcours en fonction de l’État du navire et de son écosystème. Alors, comment élaborer une stratégie ? Quels risques devra-t-on affronter ? Quelles contraintes juridiques, sociotechniques, environnementales doivent être respectées ? Quelle organisation mettre en place ? Comment constituer un tableau de bord qui rend compte de l’état de l’entreprise dans son écosystème et permet de l’y piloter efficacement ?
À toutes ces interrogations, les réponses suivantes s’imposent : l’élaboration de principes de gouvernance relatifs à la stratégie, aux acquisitions, aux performances, à la conformité aux lois et régulations, aux comportements humains et aux responsabilités ; la connaissance approfondie de son écosystème ; la maîtrise de l’architecture de l’entreprise associée à des réflexions profondes à son propos.
Des réflexions à propos de l’architecture
Le système est-il capable d’atteindre les objectifs stratégiques et de s’adapter rapidement aux évolutions de l’écosystème ? Est-il apte à faire face aux risques qui y surgiront et dispose-t-il de moyens défensifs ? Dispose-t-il d’une structure lui conférant les caractéristiques de résilience, de flexibilité, d’agilité lui permettant de résister ? Les progrès de la loi de Moore et du génie logiciel rendent possibles de nouvelles architectures. Cependant, l’affaire SolarWinds démontre la naïveté actuelle de certaines directions d’entreprises et d’administrations qui intègrent des systèmes ouverts (open source) ou propriétaires sans contrôler les risques encourus. Cette affaire, comme les pénuries résultant de la crise du COVID, montre à quel point la sous-traitance est stratégique alors que la cybersphère offre aux entreprises de nombreuses opportunités d’appel à des services externes pour améliorer leur chaîne de valeur.
Des réflexions à propos du management
Mais on ne gouverne pas le chaos ! Comment organiser le management de l’équipage pour que l’entreprise s’adapte à son nouvel écosystème et y survive ? La maîtrise des processus business s’impose. Le rôle de la DSI n’est-il pas d’y injecter, en collaboration avec les métiers de l’entreprise, les technologies de l’information et des télécommunications ? Il est donc vain de parler séparément de gouvernance du Système d’Information et de gouvernance d’entreprise, les deux étant intimement liées. Pour reprendre les propos de Nicolas Carr, ce qui compte, c’est le business : « IT doesn’t matter » ! D’ailleurs, peut-on à propos de l’informatique parler encore uniquement de Système d’Information alors que, avec l’IA, les robots et les objets connectés, l’informatique prend en charge de nombreux processus métiers et devient un effecteur sur le monde réel comme l’illustre l’affaire d’Oldsmar ?
Des changements de comportement
Les DSI qui étaient jusqu’ici trop souvent « technocentrées » doivent réorienter leur action vers la création de valeur pour l’entreprise et participer au développement de sa stratégie. Réciproquement, la technologie et les systèmes d’information sont devenus si importants pour atteindre les objectifs de l’entreprise qu’ils ne peuvent plus être considérés uniquement comme des moyens d’atteindre des objectifs déjà identifiés. Alors la direction de l’Entreprise, la DSI et les directions des Business units doivent travailler en étroite collaboration. C’est pourquoi la mise en place de Business relationship managers est un dispositif organisationnel incontournable pour accroître la collaboration entre tous les acteurs de l’entreprise, développer l’intelligence collective et ainsi améliorer la gouvernance.
Gouvernance : développer vos capacités par la formation
La formation est une clé essentielle pour déverrouiller ces trois verrous (architecture, management et comportements). I-Training et Services a développé et anime quatre séminaires édités exclusivement par ORSYS : l’un sur le concept de gouvernance et son organisation, le deuxième sur l’architecture de l’entreprise, le troisième sur l’adaptation de l’entreprise aux enjeux du numérique, le quatrième sur le Business relationship management. Ces séminaires sont déclinés ensuite dans deux stages pratiques : le développement d’un tableau de bord et la maîtrise de l’architecture de l’entreprise. Ils reprennent les normes et meilleures pratiques de ces domaines et partagent avec les participants l’expérience de ses intervenants. Nos autres formations en cybersécurité viennent compléter ce schéma vaccinal contre ces menaces virtuelles, mais bien réelles.
