La résilience opérationnelle ne doit pas être uniquement la préoccupation de spécialistes
La digitalisation des services et du commerce fait que les entreprises de tous types doivent désormais assurer des services 24 heures sur 24 et 7 jours sur 7. Il convient donc d’identifier et de traiter les points névralgiques du système d’information, ainsi que les talons d’Achille potentiels de l’infrastructure informatique. Les coûts engendrés par un dysfonctionnement ou l’exploitation d’une faille font régulièrement la une des journaux – par exemple lorsque des banques, des marques de grande distribution, des institutions publiques, des fournisseurs de services et d’autres grandes organisations s’attirent les foudres de leurs clients lors d’une perte de disponibilité de leurs services à la suite d’un incident – si bien que les dirigeants sont parfaitement conscients que le succès d’une entreprise réside aussi dans la résilience de ses systèmes.
Aujourd’hui, des indicateurs clés sont définis afin de s’assurer que les données sont toujours disponibles, fiables, sécurisées et exploitables. Ainsi, des bases de données aux opérations de services clients, toutes les étapes de la chaîne de valeurs nécessitent la mise en place de plans d’urgence. La sécurité et la résilience deviennent des critères inhérents aux processus d’entreprise. En somme, pour répondre au mieux au risque de perturbation ou d’interruption des services, il faut d’abord l’envisager, le rendre concret, puis donner aux équipes les moyens d’y faire face plus rapidement et efficacement.
Cependant, si la décision de construire la résilience de cette manière est légitime et louable, elle passe parfois à côté d’un élément important : les subtilités du fonctionnement réel des systèmes et des infrastructures informatiques. Elle peut alors s’avérer contre-productive. Pour comprendre pourquoi, il faut revenir un instant sur l’histoire de l’informatique en tant que discipline.
publicité
L’essor de la spécialité dans le domaine informatique
Avec le recul, il est impressionnant de constater à quel point l’informatique s’est rapidement et profondément spécialisée en tant que domaine professionnel. Il y a seulement deux générations, les technologies de l’information n’offraient presque aucune opportunité de carrière. Aujourd’hui, il s’agit non seulement de l’un des principaux domaines d’emploi dans le monde, mais les travailleurs de ce secteur sont appelés à assumer des rôles et développer des compétences clés, parfois très spécifiques afin de répondre à la demande.
Aussi mineure et intégrée que puisse paraître une technologie, il existe des équipes entières dont c’est la préoccupation principale au quotidien. La notion de qualité de service n’a pas la même signification pour un employé du service d’assistance ou un ingénieur informatique. La notion de vitesse n’a pas la même signification dans un immeuble composé uniquement de bureaux que dans un centre de calcul à haute performance. Et la sécurité n’a pas les mêmes implications pour un spécialiste des réseaux que pour un expert en cryptographie. Et pourtant, ce sont toutes des exigences qui, du point de vue de la stratégie métier, peuvent être considérées comme identiques et interchangeables. Cette confusion entre général et particulier existe aussi dans la vision de la résilience d’une entreprise.
Lorsqu’un événement perturbateur survient, la première réaction d’un professionnel de l’informatique n’est pas de savoir quel est son impact sur l’entreprise, mais comment cela se rapporte à sa propre définition de la résilience, qu’il a définie comme une mesure de performance de qualité. Plutôt que d’identifier la racine du problème, les équipes s’occupent de leurs domaines de responsabilité respectifs, qu’il s’agisse de rétablir la disponibilité de la base de données, de maintenir l’exécution des commandes, de protéger les canaux de communication internes, etc.
Bien que ce mode de gestion des responsabilités présente certains avantages dans des situations d’urgence, il requiert également plus de temps pour que différents services IT puissent procéder à la résolution d’un incident. Et prendre plus de temps signifie, bien sûr, subir des dommages financiers et de réputation plus importants.
Une nouvelle approche pour la résilience opérationnelle
Il ne faut pas y voir une remise en question de la motivation ou la rigueur des professionnels de la production informatique, ou un appel à revenir en arrière sur la spécialisation de l’informatique : le problème est plus large et structurel.
Les professionnels de l’informatique se sont spécialisés au fil des décennies, tout comme la manière dont nous vendons, achetons et connectons l’infrastructure informatique. Afin d’optimiser la gestion, les budgets sont alloués de façon segmentée, et les fournisseurs vendent leurs offres de la même façon. Cela se fait au détriment d’une vision globale et cohérente de l’impact de l’exploitation des vulnérabilités et des failles sur l’entreprise. En effet, cela incite à se concentrer sur des mesures spécifiques comme les accords de niveau de service ou les objectifs et résultats essentiels, plutôt que sur les raisons pour lesquelles la technologie est nécessaire en premier lieu. Pour donner un exemple simple, si un incident se produit, comme la rupture de liaison avec un centre de données, l’inaccessibilité aux informations reste anecdotique comparée à l’impossibilité pour les clients de passer une commande.
Nous devons donc repenser la gestion de la résilience opérationnelle et sa mesure dans ces disciplines. La mise en application des accords de niveaux de services (SLAs) est rassurante sur le papier, car ces SLAs sont propres à la technologie qu’ils mesurent, mais ils ne reflètent pas nécessairement les conséquences en situation réelle. Nous devons plutôt repartir du “Minimum Viable Company” (MVC) – c’est-à-dire la définition des processus, fonctions et services essentiels, voire vitaux, d’une entreprise – et nous demander comment l’ensemble du système d’information peut les soutenir.
Ce changement d’approche induit une certaine complexité, car il convient d´abord de bien comprendre ce qui constitue ce MVC pour une entité. Ensuite, comprendre quels sont les systèmes et infrastructures en support de ces activités (ce que beaucoup d’entreprises omettent), et enfin tester quel serait l’impact de chaque vulnérabilité ou faille sur l’ensemble de l’organisation (ce que beaucoup d’entreprises ne font pas encore). Au plus haut niveau, une vision holistique de la résilience devient primordiale. Seule cette vue d’ensemble permettra d’identifier ce qui est réellement essentiel, voire vital pour l’entreprise, et mettre en œuvre sa résilience de manière efficace et opérationnelle.