• Print
  • Decrease text size
  • Reset text size
  • Larger text size
09/16/2016

Anticiper les risques du numérique pour faciliter la transformation

Sia Partners décrypte les tendances actuelles en matière de sécurité.

Se transformer ou mourir, mais à quel prix ?

Dans un contexte concurrentiel de la révolution numérique en cours, la question de la transformation est une question de survie pour des nombreux acteurs de la vie économique. Cette révolution intervient dans un contexte d'exposition croissante aux risques, notamment aux risques de cyber sécurité. La crainte de ces risques constitue au mieux un frein à la transformation, au pire conduit à la mise en œuvre des programmes par des structures « digital » ad hoc parallèles, laissant souvent les risques hors de contrôle. 

La transformation numérique remet en évidence le besoin d'agilité. Or, la sécurité rime plus souvent avec la rigidité qu'avec l'agilité. Pour avancer, entre l'agilité de la transformation et la rigidité de la sécurisation, il convient de trouver une démarche à la fois méthodique et pragmatique. Cette démarche permettra d'identifier et mitiger les risques (existants et anticipés), tout en les identifiant de manière la plus exhaustive possible. 

Anticiper les risques du numérique revient à créer un environnement favorable à la transformation. La démarche sera positionnée en parallèle de celle engagée pour la transformation numérique.

Des nombreuses solutions permettant d'adresser les risques existants et futurs sont à portée de main. Souvent la difficulté consiste à choisir le bon mix des solutions et de définir une cible permettant d'accommoder le numérique qui se construit en parallèle et dont l'image en interne est à l'étape de l'esquisse voire non diffusé. 

L'enjeu est de mettre à l'abri le patrimoine numérique existant, tout en permettant à des nouvelles initiatives de se développer sans contraintes. Le tout, dans un environnement extrêmement connecté où les risques se propagent sans différence entre le numérique et l’ante-numérique.

Comprendre l'environnement de demain pour anticiper

Pour avancer, il faut commencer par comprendre les enjeux du numérique dans le contexte métier unique à chaque environnement. S'aligner sur cette perspective revient de fait à contribuer à la réalisation des objectifs stratégiques de l'entreprise. Quoi de plus important ?

Cette transformation peut prendre des formes différentes. Le trait commun : bien souvent il s'agit d'un futur avantage compétitif impliquant la transformation du métier lui-même. Dans les assurances par exemple - utilisation des objets connectés permettra de proposer des offres sur mesure ; dans la banque - la non-matérialisation des contrats avec la signature numérique ou la transformation du parcours client grâce à la mobilité ; dans la pharma - utilisation des applications mobiles et du Bigdata pour établir un lien direct avec le consommateur et transformer la chaine de valeur.

Outre l'aspect métier, la transformation numérique présente aussi une autre facette, celle qui touche au fonctionnement interne et impacte les forces vives en introduisant des nouveaux usages. Elle va jusqu’à transformer la culture d'entreprise. Sur le plan de risques elle est constituée des thèmes plus cernés : collaboration et réseaux sociaux, mobilité pour les agents terrain, BYOD, cloud bureautique, communication multicanale.

Qu'il s'agisse de l’aspect métier ou l’aspect interne de la transformation, quelques traits communs permettent d'anticiper les besoins futurs en gestion des risques. 

 

 

Quelles capacités clés à développer sur le plan de maîtrise de risques du numérique ?

L'actualité de tous les jours nous en apporte la preuve : les entreprises sont vulnérables et les risques se démultiplient. La protection du patrimoine informationnel implique l'amélioration du dispositif existant. Or, la transformation numérique apporte des nouvelles portes d'entrée aux menaces.

Le risque zéro et la sécurité à 100% n’existent pas. La démarche pragmatique consiste à engager un programme de protection de l’existant « fix the basics » et en parallèle la création d’un environnement favorable au digital.

La protection du patrimoine existant passe par l’adoption d’une démarche risque cyber alignée sur celle de métiers. Le patrimoine est protégé en fonction sa valeur métier. Cette approche permet de définir les priorités entre les mesures et pour les chantiers à engager. Elle constitue aussi un élément indispensable de l’excellence opérationnelle du dispositif de sécurité. En effet l’approche par risque dans la sécurité opérationnelle se traduit par la prise en compte d'impact métier. C’est la seule approche qui permet de mettre en place un centre d’opérations à valeur ajoutée perceptible ou une protection des fuites d’information efficace. Les dispositifs existants, trop souvent issus d’une cumulation successive des rustines de sécurité, méritent d’être optimisés avec une approche par coûts et en adoptant les techniques Lean.

Le numérique englobe des nombreuses technologies, dont les usages présentent des risques spécifiques. Quelques traits communs permettent de définir les 3 capacités clés à développer.

Si nous considérons l’information comme un bien à partager, un bien qui a de la valeur et mérite une protection adéquate :

  1. Accès contrôlé à la donnée et capacité à la partager

  2. Protection focalisée sur la donnée et rapprochée de la donnée

  3. Innovation et agilité dans l’adoption des technologies de confiance 

Ouvrir accès à l’information de manière contrôlée implique l’adoption des technologies d’interopérabilité et du cloud mais également une maîtrise renforcée des accès avec notamment : le renforcement du contrôle d’accès par une authentification forte, la capacité à gérer des identités externes fournies par un tiers de confiance ou une fédération d’identités.

Avec la généralisation des objets connectés et du Bigdata, de plus en plus de données sont collectées. Or, les données étant plus mobiles, les approches classiques de protection de systèmes s'avèrent insuffisantes. Il faut rapprocher la protection de la donnée (structurée ou non structurée) et la protéger des fuites. L’obligation de protéger les données confiées est non seulement une problématique centrale de différentes régulations à l’échelle mondiale, mais aussi une question de confiance vis-à-vis de ses clients ou usagés.

Depuis toujours la notion de la confiance est au centre de tout activité économique. Générer de la confiance, c'est permettre au business de se développer. Et la nouvelle confiance numérique se base bien souvent sur les technologies de confiance : signature électronique et archivage probant, gestion des droits numériques, Blockchain, la biométrie, l’ADN numérique, la RFID et la géolocalisation… Bien des technologies qui ouvrent des nouvelles perspectives.

Maitriser les risques existants, anticiper ceux à venir - tout un programme. 

 

Adam Wojnicki - Senior Manager CIO Advisory

0 comment
Post a comment

Plain text

  • No HTML tags allowed.
  • Web page addresses and e-mail addresses turn into links automatically.
  • Lines and paragraphs break automatically.
Image CAPTCHA
Enter the characters shown in the image.
Back to Top