Une gestion efficace des risques est une priorité absolue pour tout DSI. Le respect de quelques règles fondamentales permet de s’assurer que la stratégie IT s’aligne bien sur la tolérance aux risques de l’organisation.
Le risque est partout et protéiforme. Regardez autour de vous et vous verrez des obstacles technologiques, économiques et concurrentiels que les DSI doivent non seulement gérer, mais aussi dépasser. Selon une enquête mondiale de PwC, 75 % des responsables des risques affirment que les pressions financières limitent leur capacité à investir dans les technologies de pointe nécessaires à l’évaluation et au contrôle des risques. Pourtant, ne pas s’attaquer à ce sujet clef avec un programme efficace revient à courir à la catastrophe. Votre organisation fait-elle tout ce qui est en son pouvoir pour se protéger des menaces internes et externes ? Les sept règles de base suivantes peuvent vous aider à vous assurer d’être sur la bonne voie.Règle n° 1. Définissez le niveau de risque acceptableUne fois que le DSI a compris la propension au risque de son organisation, tout le reste – stratégie, innovation, sélection des technologies – peut s’aligner sans problème, explique Paola Saibene, consultante principale au sein de la société de conseil aux entreprises Resultant. Mais établir cette appétence au risque, c’est-à-dire le niveau de risque acceptable dans une situation spécifique, est un défi, car de nombreuses organisations comprennent intuitivement le sujet, sans le définir explicitement ou sans communiquer sur le sujet de manière structurée, note Paola Saibene.« En fait, les DSI confondent souvent la gestion des risques avec la conformité ou la cybersécurité, alors que le risque est une notion beaucoup plus large », dit-elle, conseillant aux responsables informatiques de désigner un responsable des risques au niveau de l’entreprise. Ce dernier peut alors devenir le meilleur allié du DSI, en l’aidant à naviguer dans les risques, à accélérer les initiatives stratégiques et à fournir des conseils sur les domaines où la prudence est nécessaire par rapport à ceux où la rapidité doit primer.La gestion des risques est l’un des aspects les plus mal compris et pourtant les plus précieux en matière de leadership, selon Paola Saibene. Lorsque les DSI adoptent des cadres formels de gestion des risques, ils peuvent identifier de manière proactive les risques liés aux technologies de l’information, proposer des stratégies d’atténuation et collaborer efficacement avec les responsables des risques. « Cela permet non seulement de renforcer l’adhésion de la direction, mais aussi d’accélérer les progrès », explique-t-elle.Règle 2. Inventoriez les applicationsLa plus importante règle de gestion des risques pour tout DSI consiste à maintenir un inventaire complet et constamment mis à jour de l’ensemble du portefeuille d’applications de l’organisation, afin d’identifier et d’atténuer de manière proactive les risques de sécurité avant qu’ils ne se matérialisent, conseille Howard Grimes, PDG du Cybersecurity Manufacturing Innovation Institute, un réseau d’instituts de recherche américains qui se concentrent sur le développement de technologies de fabrication par le biais de partenariats public-privé.PublicitéCela peut sembler simple, mais de nombreux DSI ne respectent pas cette discipline fondamentale, selon Howard Grimes. « Les risques apparaissent souvent lorsqu’une organisation néglige une gestion rigoureuse de son portefeuille d’applications, en particulier avec l’adoption rapide de nouveaux outils pilotés par l’IA qui, s’ils ne sont pas contrôlés, peuvent exposer par inadvertance la propriété intellectuelle de l’entreprise. »En l’absence d’un examen et d’une rationalisation structurés des applications, les organisations deviennent vulnérables aux inefficacités opérationnelles, aux manquements à la conformité et à l’augmentation exponentielle des risques cyber, prévient le dirigeant de l’institut. « Les DSI devraient adopter une approche proactive et préventive – gérer les applications d’entreprise de manière holistique pour prévenir les failles de sécurité avant qu’elles n’apparaissent », dit-il.Actuellement, une préoccupation majeure provient de l’adoption rapide d’outils alimentés par l’IA qui, tout en favorisant l’efficacité, présentent également des risques pour la propriété intellectuelle de l’entreprise, selon Howard Grimes. « Les organisations doivent déployer des mécanismes pour protéger leur propriété intellectuelle et empêcher les données sensibles d’être introduites dans les moteurs d’IA publics, dit-il. Dans de nombreux cas, les entreprises devraient opter pour des modèles d’IA fermés et propriétaires qui ne sont pas connectés à Internet, garantissant ainsi que les données critiques restent sécurisées au sein de l’entreprise. »Et d’ajouter : « les DSI doivent rationaliser chaque application, ressource et actif au sein de leur entreprise, en s’assurant que les outils redondants ou inutiles sont éliminés, que les failles de sécurité sont traitées de manière proactive et que les employés n’introduisent pas d’applications non autorisées dans l’écosystème. » L’extension de l’utilisation d’une application au-delà de son objectif initial doit également être évaluée avec soin, conseille-t-il, car elle peut entraîner de nouveaux risques de sécurité, qui ont échappé à l’analyse initiale. « En outre, sans une rationalisation fréquente et proactive du portefeuille, le ‘monstre applicatif’ peut conduire à des inefficacités, à un risque cybern accru et à des charges inutiles pour les équipes de support informatique », ajoute-t-il.Règle n° 3. Soyez proactifChaque DSI doit adopter une approche proactive de la cybersécurité, recommande Jonathan Selby, responsable de la pratique technologique au sein de la société de conseil en gestion des risques Founder Shield. Il suggère de créer une culture de la sécurité par la formation des employés, la mise à jour des systèmes et la mise en oeuvre de mesures de sécurité complètes, y compris un plan de réponse à incident.Selon lui, la cybersécurité est désormais une guerre qui se mène sur plusieurs fronts. « Nous n’avons plus le luxe d’anticiper les attaques qui nous atteignent de plein fouet », dit-il. Les dirigeants doivent reconnaître l’interdépendance entre les différents volets d’un plan de gestion des risques. « Ce n’est pas seulement la politique cyber qui fait le gros du travail, ni même une formation poussée des employés qui constituent votre armure, c’est un tout. » La première façon de minimiser les risques est de commencer par le haut, conseille Jonathan Selby.Règle 4. Formalisez la gestion des risques à l’échelle de l’entrepriseLes DSI et leurs services gèrent déjà les risques au quotidien, alors pourquoi ne pas formaliser ce processus et l’intégrer au reste de l’entreprise, souligne Will Klotz, consultant en sécurité chez GuidePoint Security, une société de services spécialisée sur ces sujets. « Il est préférable d’intégrer délibérément le management des risques dans la gestion, les décisions et les opérations quotidiennes », suggère-t-il.En exprimant les risques en termes compréhensibles par l’ensemble de l’entreprise, vous pouvez assurer une priorisation correcte des projets et des discussions plus significatives avec les parties prenantes moins techniques, tout en renforçant la confiance dans l’ensemble de l’organisation, explique Will Klotz.Règle n° 5. Restez réalisteDe nombreuses organisations ont des stratégies de management des risques irréalistes qui ne tiennent pas compte des risques réels ou de la façon ils se matérialisent, explique Brian Soby, directeur technique et cofondateur du fournisseur de services de sécurité SaaS AppOmni. Celui-ci recommande de tester le programme actuel de gestion des risques de l’entreprise par rapport à des incidents réels. « Tous les mois, voire toutes les semaines, nous entendons parler de brèches de sécurité dans la presse, observe-t-il. Pour chacun de ces incidents, prenez les circonstances de la violation ou de l’attaque et appliquez-les à votre entreprise, conseille Brian Soby. « Et demandez-vous si votre entreprise aurait fait les gros titres », dit-il.Le CTO estime qu’il existe un décalage flagrant entre les types de menaces et de risques que les entreprises pensent devoir atténuer et les risques auxquels elles sont réellement confrontées. « Les entreprises doivent évaluer leurs programmes de gestion des risques par rapport à la réalité, et le moyen le plus simple d’y parvenir est de comparer ce programme à des incidents réels pour évaluer quel aurait été le résultat », souligne Brian Soby. Et de conseiller un examen des approches adoptées par d’autres entreprises pour atténuer les risques en recourant à des formations et à des contrôles techniques.Règle 6. Recherchez la résilienceSelon Greg Sullivan, associé fondateur de CIOSO Global, société spécialisée dans la cybersécurité et la gestion des risques, et ancien DSI de Carnival Corp, l’entreprise doit se concentrer sur la résilience et la mise en place de systèmes capables de se remettre rapidement d’une perturbation. « Les systèmes résilients s’attaquent simultanément à de multiples vecteurs de menace tout en s’alignant sur les priorités de l’entreprise, résume-t-il. Cette approche crée également un cadre formel avec des mesures de RTO (objectif de temps de récupération) et de RPO (objectif de point de récupération). »Selon Greg Sullivan, les DSI commettent souvent l’erreur de surinvestir dans des mesures défensives et préventives tout en négligeant la résilience et les capacités de récupération. « Cela crée un déséquilibre et un faux sentiment de sécurité, prévient-il. Il est primordial que toutes les parties prenantes participent aux efforts de récupération et suivent des procédures de reprise bien rodées et bien communiquées. »Chaque entreprise a besoin d’un plan actualisé de reprise après sinistre et de continuité des activités, selon lui. « Ces plans permettent de renforcer la résilience tout en se concentrant sur la restauration des systèmes et sur une stratégie opérationnelle visant à maintenir les fonctions critiques de l’entreprise, explique Greg Sullivan. Plus important encore, ce plan doit être testé et mis à jour régulièrement. »Règle n° 7. Alignez risques IT et objectifs de l’entrepriseL’informatique n’existe jamais de manière isolée – elle doit soutenir directement les objectifs de l’entreprise tout en la protégeant contre les menaces technologiques pertinentes, souligne John Bruce, RSSI de la société de cybersécurité Quorum Cyber. Un alignement solide entre l’IT et les métiers garantit que les investissements informatiques apporteront une valeur ajoutée à l’entreprise plutôt que de simples capacités techniques. « Lorsque les objectifs informatiques et métiers sont synchronisés, les organisations prennent des décisions plus judicieuses en matière de risques, allouent les ressources de manière plus efficace et obtiennent l’adhésion de la direction », explique John Bruce.Le RSSI recommande d’établir une structure formelle de gouvernance des risques, sous le parrainage de la direction. « En développant des registres de risques qui relient les risques technologiques aux impacts métiers, et en utilisant des KPI axés sur l’activité que les dirigeants peuvent comprendre, le DSI peut mettre en place un comité cross-fonctionnel des risques avec les différentes parties prenantes de l’organisation afin de mener des analyses régulières », explique John Bruce.
Vos coûts liés au cloud montent en flèche ? Il est probable qu’au moins l’une des raisons de cette inflation réside au sein même de votre organisation.
Personne ne souhaite gaspiller de l’argent dans le cloud. Mais en n’abordant pas pleinement une poignée de questions fondamentales, de nombreux responsables IT dépensent, en services cloud, des fonds qui pourraient être utilisés plus utilement pour soutenir d’autres projets et initiatives. Voici un bref aperçu des raisons pour lesquelles les dépenses liées au cloud sont souvent mal gérées.1. Mauvaise gestion et optimisation des ressourcesLes coûts excessifs du cloud en entreprise sont généralement le résultat d’une gestion inefficace des ressources et d’un manque d’optimisation. Selon Shreehari Kulkarni, consultant au sein du cabinet d’analyse et de conseil ISG, les ressources sous-utilisées et/ou surprovisionnées sont parmi les principales causes des coûts élevés du cloud.« Les entreprises achètent souvent des ressources – telles que des instances de calcul, du stockage ou de la capacité de base de données – qui ne sont pas entièrement utilisées et, par conséquent, elles paient pour davantage de services que ce dont elles ont réellement besoin », explique-t-il. De nombreuses entreprises surestiment également les ressources nécessaires au support d’un projet ou d’une application, ce qui les conduit à provisionner des instances plus grandes, donc plus coûteuses, que le besoin réel, entraînant ainsi un surprovisionnement.Shreehari Kulkarni estime qu’une gestion inefficace des ressources peut généralement être attribuée à la fois au client et au fournisseur. Les fournisseurs de services cloud sont généralement responsables de certaines tâches, telles que la fourniture d’outils appropriés pour la gestion des coûts, les prévisions de dépenses, l’analyse de celles-ci et la transparence sur les coûts. Cependant, il incombe principalement aux entreprises d’exploiter efficacement ces outils et analyses tout en déployant des pratiques d’optimisation des coûts, passant par un renforcement de la gouvernance, le soutien de la direction ou encore la mise en oeuvre de politiques spécifiques en interne.Selon le consultant, la gestion des coûts du cloud est essentiellement une responsabilité partagée entre l’entreprise et le fournisseur. « Les entreprises doivent rester proactives et optimiser en permanence leur infrastructure cloud, tandis que les fournisseurs doivent continuer à améliorer leurs outils et l’assistance qu’ils fournissent en la matière. »2. Les dépenses imprévues liées à l’IAL’un des défis les plus récents et les plus importants en matière de coûts du cloud ? Apprendre à gérer correctement les modèles et les agents d’IA qui y sont déployé. « Les développeurs d’applications peuvent ne pas tenir compte de la mémoire et des exigences de traitement requises pour faire fonctionner des modèles d’IA privés dans des services cloud », explique Troy Leach, directeur de la stratégie de la Cloud Security Alliance, une organisation à but non lucratif qui promeut l’utilisation des meilleures pratiques dans le cloud. « J’ai ainsi entendu parler de cas où des sociétés de conseil ont été appelées pour optimiser l’utilisation de modèles d’IA parce que le coût des ressources a augmenté de centaines de milliers de dollars du fait d’un manque de planification en amont. »3. Une mauvaise stratégie de transformation numériqueLes coûts excessivement élevés du cloud proviennent souvent d’inefficacités nées des initiatives de transformation numérique, pointe Bakul Banthia, co-fondateur de Tessell, un fournisseur de database-as-a-service. Migrer vers le cloud sans comprendre pleinement les exigences de telle application ou les besoins d’optimisation des architectures de base de données peut conduire à un surprovisionnement et à une dispersion des ressources, prévient-il. « À mesure que les entreprises se modernisent, l’intégration d’outils qui surveillent et gèrent les coûts des environnements multicloud ou hybrides devient essentielle pour maintenir les dépenses à un niveau raisonnable », ajoute Bakul Banthia.Les fournisseurs et les clients jouent tous deux un rôle dans une planification efficace. « Au cours de leurs programmes de transformation numérique, les entreprises clientes peuvent sous-estimer la complexité de la gestion des ressources cloud, ce qui conduit à des inefficacités, explique Bakul Banthia. Les fournisseurs, quant à eux, enferment parfois les clients dans des modèles de tarification ou des services spécifiques dont il est coûteux de sortir. » D’où l’importance d’une flexibilité planifiée en évitant de trop s’engager dans l’écosystème d’un seul fournisseur.4. Verrouillage des fournisseurs et absence de réévaluation régulièreLorsque l’on compare les coûts du cloud, il est important d’évaluer non seulement le prix initial, mais aussi des facteurs de long terme tels que l’efficacité opérationnelle et le risque de verrouillage à l’offre du fournisseur. « Évaluez si les applications peuvent être facilement déplacées d’un fournisseur à l’autre ou passées à l’échelle sur différentes plateformes, conseille Bakul Banthia. Utilisez des simulations de workloads et analysez le coût total de possession selon différents scénarios afin d’obtenir une image claire des solutions les plus rentables. »Les services cloud devraient être réévalués au moins une fois par trimestre, en particulier lors du déploiement des programmes de transformation numérique, lorsque les workloads et les besoins en infrastructure évoluent rapidement, recommande le co-fondateur de Tessell. « Des audits réguliers permettront de découvrir des coûts cachés, tels que des ressources orphelines ou des bases de données sous-utilisées, observe-t-il. Cela garantit que l’adaptation des stratégies cloud en temps réel, réduisant ainsi le risque de dépenses inutiles ou de dépendance à l’égard de services peu flexibles. »5. Absence de stratégie cloud clairement définieL’absence d’un plan clair pour le déploiement, la maintenance et l’expansion du cloud est l’une des principales causes de l’augmentation des dépenses. « En l’absence d’une stratégie bien définie et fiable, les coûts peuvent rapidement devenir incontrôlables », dit Karina Myers, responsable de la pratique workplace chez Centric Consulting. « Cela est particulièrement vrai lorsqu’une analyse approfondie du coût total de possession et des FinOps n’a pas été menée afin de maximiser la valeur métier des investissements dans le cloud et permettre une prise de décision opportune et fondée sur des données. »Une stratégie cloud bien définie fournira une justification métier solide en évaluant les implications financières ainsi que les motivations clés et les résultats commerciaux attendus, explique Karina Myers. « Cette approche stratégique doit guider les dirigeants tout au long de leur parcours de transformation vers le cloud, en garantissant une prise de décision éclairée et un alignement sur les objectifs de l’organisation. »La cadre de Centric Consulting insiste également sur la nécessité d’établir des fondations solides supportant à la fois les besoins de déploiement immédiats et futurs. « Ce socle doit prendre en compte les exigences de sécurité, la gouvernance du cloud, la conformité réglementaire, la continuité des activités et les normes d’automatisation, afin de garantir un environnement technique complet et durable. »6. Un alignement et une gestion médiocresIl y a quelques années, lorsque les entreprises investissaient dans leurs propres datacenters et les exploitaient, il était relativement facile d’aligner les opérations sur la stratégie de l’entreprise. « Il est important de traiter votre infrastructure cloud avec le même soin, c’est-à-dire en l’alignant et en la gérant en fonction des objectifs et des résultats de l’entreprise », souligne Gerry Leitão, vice-président pour les services cloud managés chez l’éditeur de logiciels spécialisés dans les statistiques SAS.Gerry Leitão recommande une approche du cloud à la fois centralisée et fédérée. « Il est important d’établir des garde-fous en termes d’utilisation afin que les équipes puissent rester conformes aux règles de gouvernance du cloud établies par l’organisation, conseille-t-il. Si vous comprenez les habitudes de consommation du cloud de votre entreprise et que vous optimisez son utilisation de manière réfléchie, vous pourrez l’ajuster en fonction des besoins de l’entreprise sans vous retrouver confronté à une facture exorbitante. »7. SurprovisionnementLes entreprises surprovisionnent souvent les services cloud sans procéder au préalable à des évaluations appropriées, souligne Ankush Mathur, directeur technique chez Techuz.com, société de développement d’applications web et mobiles personnalisées. « Optimiser les ressources en fonction des besoins réels de l’application est essentiel pour éviter de mettre en place des ressources surdimensionnées », ajoute-t-il.Selon Ankush Mathur, les instances réservées proposées par les fournisseurs de cloud peuvent réduire les coûts de 20 à 40%. « La surveillance régulière des services peut aider à identifier les ressources inutiles qui peuvent être éliminées, note-t-il. En outre, la définition d’un seuil dans la mise à l’échelle automatique permet d’éviter les augmentations brutales de coûts pendant les opérations de passage à l’échelle. »Les coûts excessifs résultent souvent d’une mauvaise gestion de la part des entreprises, provenant des ressources mal configurées, d’un manque de compréhension des modèles de tarification ou de mauvaises stratégies d’optimisation. « Et les fournisseurs peuvent y contribuer indirectement en proposant des structures de facturation complexes », ajoute le CTO de Techuz.com.Un monitoring inefficace du cloud peut aussi entraîner des frais inutiles, prévient Ankush Mathur. « Par exemple, certaines applications de commerce électronique augmentent la taille de leurs serveurs le jour du Black Friday, mais oublient de les réduire par la suite, ce qui entraîne des dépenses inutiles. »8. Choisir le mauvais fournisseur de cloudSelon Lenley Hensarling, conseiller technique chez Aerospike, fournisseur de bases de données NoSQL, les dépenses excessives liées au cloud sont souvent dues à la structure des coûts du fournisseur choisi. « Ce problème survient lorsque les entreprises supposent que les prix sont uniformes chez tous les fournisseurs ou pensent que les systèmes existants peuvent être migrés sans ajustements, observe-t-il. Pour éviter les dépenses inutiles, il est important de concevoir une solution en comprenant clairement les besoins spécifiques de l’application afin de les aligner sur l’architecture du fournisseur de cloud. »Et l s’agit là d’une responsabilité qui incombe généralement à l’entreprise cliente. « Si les fournisseurs établissent des modèles de tarification complexes, il incombe aux clients de comprendre ces modèles et de concevoir les applications en conséquence », explique Lenley Hensarling. « Le fait de négliger des facteurs tels que les frais de transfert de données ou les remises au volume conduit souvent à des dépenses excessives. »Selon lui, l’atteinte d’une réduction des coûts avec le cloud nécessite une approche stratégique. « Commencez par analyser vos workloads et sélectionnez le fournisseur qui leur convient le mieux ». En ce qui concerne les systèmes existants, il peut donc s’avérer nécessaire de revoir la conception de certains composants. « Dans les configurations hybrides et multiclouds, alignez les workloads sur les points forts et les modèles de tarification de chaque environnement tout en minimisant les coûts de transfert de données entre plateformes », conseille-t-il.