7 conseils pour améliorer la résilience informatique à l’ère numérique

Pendant la majeure partie de son existence, la résilience informatique s’est concentrée sur la disponibilité, en veillant à ce que les systèmes ne tombent pas en panne et, le cas échéant, en les remettant en ligne le plus rapidement possible.

Mais ce n’est qu’une partie de l’équation dans cette ère numérique moderne. Aujourd’hui, la résilience informatique signifie bien plus.

Considérez, par exemple, le point de vue de Brad Stone. En tant que CIO de Booz Allen Hamilton, Stone dit qu’il pense à la résilience en deux dimensions : la première consiste à permettre à l’entreprise de fonctionner sans interruption ; la seconde consiste à avoir la capacité de s’adapter, de faire face au changement et de gérer l’inattendu.

De plus, dit Stone, la résilience signifie désormais faire tout cela tout en offrant continuellement l’expérience que les utilisateurs attendent.

« Il y a dix ans, s’il y avait une panne, ils s’en sortaient. Mais les utilisateurs et les chefs d’entreprise s’attendent aujourd’hui à ce que la technologie fonctionne toujours et soit une expérience incroyable ; les attentes sont tellement plus élevées maintenant parce que l’informatique est un tel catalyseur qu’elle a pris plus d’importance », dit-il. « Les utilisateurs n’exigent peut-être pas la perfection, mais leurs normes sont vraiment très élevées. »

Cela a à son tour incité une approche plus large pour assurer la résilience informatique aujourd’hui. Ici, des experts et des responsables informatiques proposent sept bonnes pratiques que les DSI devraient adopter pour s’assurer qu’ils répondent aux attentes actuelles en matière de résilience.

1. Alignez-vous sur les besoins de l’entreprise

Ron Brown, directeur de la résilience commerciale pour GuidePoint Security, une société de conseil et de services, définit la résilience informatique comme s’assurant que la technologie est toujours disponible, même s’il reconnaît qu’une telle perfection est peu probable.

« Vous devez planifier le fait que les choses vont sortir à un moment donné », dit-il.

Les DSI peuvent mieux se préparer à cette fatalité en sachant clairement quels systèmes sont les plus importants pour l’entreprise ; cette clarté permet au service informatique de savoir sur quoi se concentrer en premier pendant toute sorte de panne, dit-il.

« La première chose que vous devez faire sans aucun doute est d’être en alignement avec l’entreprise, ce dont ils ont besoin et ce pour quoi ils sont prêts à payer [to get] ce qu’ils attendent », déclare Brown, notant qu’une analyse d’impact sur l’entreprise peut aider l’informatique et l’entreprise à obtenir cet alignement. « Et une fois que vous avez compris quelles sont les exigences de l’entreprise, il s’agit de savoir comment cartographier les services et les capacités dont vous disposez et quelles applications sont utilisées par quels groupes, donc si quelque chose ne va pas, vous savez où mettre vos priorités pour les faire remonter. »

2. Briser les silos

Richard Caralli, un ancien CISO qui travaille maintenant comme conseiller principal pour Axio Global, une société de gestion des cyberrisques, dit qu’il considère la résilience comme « une propriété émergente qui s’étend de la gestion du risque opérationnel ».

Pour bien faire cela, les opérations informatiques et la cybersécurité doivent travailler avec les dirigeants qui supervisent la planification de la continuité des activités/de la reprise après sinistre. Cela, cependant, ne se produit pas toujours, dit Caralli.

« Ces activités ont tendance à être cloisonnées, de sorte que chaque discipline fonctionne selon des hypothèses et des scénarios de risque différents, alors qu’en fait, elles doivent converger et travailler en collaboration », dit-il.

Par exemple, dit Caralli, l’équipe de cybersécurité d’une organisation peut se concentrer sur la création d’une stratégie de défense en profondeur stellaire pour mieux s’assurer qu’elle peut prévenir les intrusions, les détecter si elles se produisent et réagir lorsqu’elles se produisent. Mais l’équipe n’est peut-être pas aussi forte dans la planification du « retour à des conditions de fonctionnement normales aussi rapidement que possible avec le moins de conséquences » si la cybersécurité ne travaille pas en étroite collaboration avec les risques et l’informatique, déclare Caralli.

« S’ils ne parlent pas tous ensemble, ils pourraient être en train de planifier ou de quantifier différents risques », ajoute-t-il. «Ils doivent planifier et exécuter des scénarios ensemble. Si vous examinez le risque sous l’angle de l’impact et que vous pouvez imaginer le type de conséquences qui pourraient survenir, vous pouvez commencer à quantifier le risque et vous pouvez alors savoir où dépenser le prochain dollar, que ce soit pour la prévention ou pour pratiques qui réduiront l’impact.

3. Faites mûrir vos métriques

Au fur et à mesure de l’évolution de la résilience informatique, Jorge Machado, associé du cabinet de conseil en gestion McKinsey & Co., déclare que les DSI doivent ajuster les métriques qu’ils utilisent pour mesurer et gérer les opérations afin de s’assurer qu’ils atteignent les bons objectifs.

« Traditionnellement, si nous revenons une décennie en arrière, il s’agirait de la disponibilité, de la disponibilité des applications et du temps moyen de restauration », explique Machado. « Mais de nos jours, à mesure que les applications deviennent plus orientées vers les microservices et que nous nous éloignons des systèmes monolithes, nous devons mesurer de manière plus nuancée. »

Lui et son collègue, partenaire associé de McKinsey Arun Gundurao, suggérer des mesures axées sur la capacité à effectuer des transactions critiques telles que celles mesurant les échecs dans les interactions avec les clients, l’expérience de l’application du point de vue de l’utilisateur ou les objectifs de niveau de service.

« C’est ce qui importe à l’entreprise autour de cette application ou de ce parcours client », déclare Gundurao. « Vous voulez mesurer ce que l’entreprise veut mesurer.

4. Pratique

Selon Stone, la résilience signifie gérer avec succès des circonstances inattendues. Et pour ce faire, Stone s’assure que son service informatique n’est pas mal préparé. Cela signifie s’entraîner, tester et s’entraîner avec des exercices et des simulations sur table.

« Il s’agit de faire des exercices, de supprimer un cluster et de ne pas dire [everyone] et voir comment les gens réagissent. C’est presque comme une simulation de tir réel. Vous devez le faire avec précaution, au bon moment, mais cela doit faire partie de votre cadence », dit-il. « Vous devez avoir ces procédures d’exploitation standard, les parcourir et les affiner. Vous devez être prêt à mettre votre personnel mal à l’aise, à les défier. Cela leur donne un peu de camaraderie parce qu’ils savent qu’ils peuvent traverser les choses.

Stone dit que de tels exercices donnent aux DSI et à leurs responsables l’occasion de renforcer la confiance dans les processus qui fonctionnent bien et de développer la mémoire musculaire, ainsi que d’identifier les faiblesses – telles que le manque de redondance des travailleurs formés aux technologies clés ou le manque de procédures de sauvegarde si un une application particulière échoue.

5. Résilience de l’architecte

Les conseillers informatiques soulignent qu’il est important d’intégrer la résilience dans l’architecture elle-même, par exemple en répartissant les instances et les charges utiles sur plusieurs emplacements géographiques.

Une façon de garantir des systèmes résilients consiste à « simplifier ce que vous faites afin de pouvoir le faire très bien pour répondre aux attentes », déclare Stone, notant qu’une telle approche permet également d’éviter que les équipes ne soient surchargées.

La combinaison de l’automatisation pour la gestion des incidents, des problèmes et des changements contribue également à renforcer la résilience, ajoute-t-il.

Gundurao recommande d’adopter l’ingénierie de la fiabilité du site (SRE), un ensemble de principes et de pratiques pour l’infrastructure et les opérations visant à créer des systèmes évolutifs et fiables. SRE – et les personnes formées à ses principes – se concentrent sur la construction de l’informatique non seulement pour bien fonctionner dans un ciel bleu, mais pour fonctionner dans un ciel orageux, ajoute Machado.

Andrew Long, responsable mondial de l’architecture d’entreprise chez Accenture, voit les grandes organisations traditionnelles adopter de plus en plus les principes, les technologies et les méthodes utilisées par les organisations natives du numérique pour concevoir des systèmes informatiques plus résilients. « Cela a permis à l’entreprise d’améliorer sa résilience face aux événements commerciaux perturbateurs, et donc de devenir plus compétitive », dit-il.

Pour ce faire, les responsables informatiques mettent l’accent sur la vitesse et l’agilité, la centralité des données et la décentralisation, ainsi que l’intégration et la livraison continues, le SRE et les microservices pour fournir les capacités commerciales dont la future organisation a besoin… d’une manière plus modulaire et composable », a déclaré Long dit.

Ils passent également de la livraison de projets informatiques traditionnelle basée sur une cascade à « une livraison et des opérations informatiques plus centrées sur les produits, qui tendent à prendre en compte des exigences plus larges et plus stratégiques qui prennent en charge la résilience informatique », ajoute-t-il.

« Presque toutes les organisations ont une partie de leur parc informatique dans le cloud », déclare Long, mais la clé est « de déterminer quelles capacités cloud uniques peuvent être exploitées pour accroître la capacité de l’organisation à devenir plus agile et résiliente ».

6. Restez vigilant

Selon les experts, les risques organisationnels, les besoins commerciaux et la technologie continueront d’évoluer, tout comme les pratiques en matière de résilience informatique.

« Engagez-vous avec l’entreprise pour comprendre où elle voit les risques d’interruption des activités, l’ampleur du risque et, surtout, comment elle quantifie ce risque et donc la valeur potentielle », déclare Long. En ayant une compréhension claire de l’état actuel de votre paysage technologique, vous pouvez mieux comprendre comment votre organisation peut réagir à cette perturbation et où résident les zones de risque critiques.

« Confirmez les interventions spécifiques qui doivent être faites pour minimiser le risque et développez une feuille de route pour apporter le changement », dit Long, ajoutant que l’exécution de cette feuille de route n’est possible que « si tout le monde est aligné sur le risque commercial ».

7. Laissez les entreprises partager la responsabilité

Le côté commercial a également un rôle à jouer dans la résilience informatique, dit Machado, de sorte que les chefs d’unité commerciale devraient également en être responsables.

« Je pense que vous devez avoir un modèle de responsabilité, et nous pensons qu’il devrait être partagé avec l’entreprise », explique-t-il, « ainsi, quiconque construit l’application devrait en partager la responsabilité. Cela ne devrait pas être uniquement le rôle du CIO.

Machado ne préconise pas que les unités commerciales prennent en charge les opérations informatiques et la gestion quotidienne des applications et des systèmes ; il dit plutôt qu’ils devraient comprendre que leurs exigences et leurs priorités peuvent avoir un impact sur la résilience.

Par exemple, si les chefs d’unité commerciale donnent constamment la priorité au délai de mise sur le marché et à la vitesse de création de valeur, ils doivent partager la responsabilité de savoir si et dans quelle mesure cela pourrait affecter la résilience.