Atténuer les risques cachés de la transformation numérique

Les entreprises cherchent à tirer parti de tout avantage technologique qu'elles peuvent en s'adaptant à de nouvelles façons de travailler, de gérer les employés et de servir les clients. Ils progressent davantage vers le cloud, le commerce électronique, les chaînes d'approvisionnement numériques, l'intelligence artificielle (IA) et l'apprentissage automatique (ML), l'analyse de données et d'autres domaines qui peuvent offrir efficacité et innovation.

Parallèlement, les entreprises tentent de gérer les risques – et les mêmes initiatives numériques qui créent de nouvelles opportunités peuvent également entraîner des risques tels que des failles de sécurité, des échecs de conformité réglementaire et d'autres revers. Le résultat est un conflit permanent entre le besoin d'innover et le besoin d'atténuer les risques .

«Il y aura toujours une certaine tension liée à la gestion des risques et à l'engagement dans le travail de transformation numérique». déclare Ryan Smith, CIO chez Intermountain Healthcare, fournisseur de soins de santé.

Intermountain Healthcare

«Alors que les organisations pivotent pour augmenter le niveau d'accès numérique offert aux consommateurs et aux membres du personnel impliquant des informations personnelles et commerciales, il crée des formes de risques entièrement nouvelles qui doivent être atténuées par rapport aux méthodes traditionnelles de conduite des affaires », déclare Smith. «Ces nouveaux modèles d'engagement, rendus possibles grâce à la transformation numérique, nécessitent différentes approches de gestion des risques.»

Voici quatre domaines clés dans lesquels les efforts de transformation numérique peuvent introduire des risques – et comment les organisations peuvent y faire face.

Infrastructures de cloud multicloud ou hybride [19659010] De plus en plus d'entreprises se tournent vers des environnements informatiques pris en charge par plusieurs services cloud, souvent de plusieurs fournisseurs. Cela peut inclure des offres de logiciel en tant que service (SaaS), de plateforme en tant que service (PaaS) ou d'infrastructure en tant que service (IaaS).

Quels que soient les types de cloud utilisés, l'hébergement de données et d'applications vitales en dehors du périmètre défensif de l'organisation présente un risque considérable, en particulier lorsque plusieurs sites, services ou fournisseurs sont impliqués. Outre la perte ou le vol de données, les entreprises peuvent rencontrer des problèmes avec les réglementations sur la confidentialité des données, sans parler du risque de dépassement des coûts résultant de de mauvaises pratiques de gestion du cloud .

«Les risques les plus fréquents que nous constatons impliquent ici la gouvernance des environnements cloud: quel fournisseur cloud? Quel protocole? Seuils de création, d'utilisation, de taille, etc., pour les environnements [development] afin d'optimiser l'utilisation », déclare Ola Chowning, partenaire de la société de recherche et de conseil en technologie ISG, ajoutant qu'il est beaucoup plus facile de s'attaquer aux problèmes de gouvernance tels que ceux-ci dès le début.

Cervello

Une stratégie multicloud «tend à apporter une complexité accrue et des outils de gestion et d'automatisation décousus», dit Emal Ehsan, directeur du cabinet de conseil en analyse d'affaires Cervello, une unité de la société mondiale de conseil en gestion Kearney. Cette complexité peut introduire un risque de panne des opérations.

De plus, les services informatiques étaient historiquement achetés à partir de centres de données détenus et exploités par l'entreprise, le service informatique assurant la supervision du processus d'approvisionnement. Désormais, des services cloud tels que PaaS peuvent facilement être achetés et déployés par les utilisateurs professionnels sans examen de l'architecture ou de la sécurité, explique Smith d'Intermountain. Les responsables informatiques et commerciaux doivent atténuer ce problème en contrôlant les services activés et disponibles pour les utilisateurs.

«Une bonne pratique consiste à s'assurer que pour tous les services cloud demandés, [the services] sont soumis à des examens d'architecture et de sécurité appropriés sur tout Les plates-formes de fournisseurs IaaS, PaaS ou SaaS, avant d'être approuvées pour une utilisation dans l'entreprise », déclare Smith. «Des directives et des barrières de sécurité doivent être établies avant que tout outil de fournisseur de cloud public ne puisse être fourni à l'organisation, y compris une surveillance continue de toute utilisation.»

Le service informatique, la cybersécurité et les services juridiques doivent tous travailler ensemble pour rester en face de tous les efforts de l'entreprise

Chaînes d'approvisionnement et canaux de vente numériques

Les entreprises s'appuient de plus en plus sur une variété de technologies pour améliorer et gérer leurs chaînes d'approvisionnement, y compris la connectivité numérique de bout en bout, services cloud, blockchain, robotique, véhicules autonomes et outils d'analyse avancés, entre autres.

Cette transformation numérique de la chaîne d'approvisionnement peut augmenter l'efficacité et la visibilité, réduire les erreurs et les coûts, améliorer la collaboration avec les partenaires commerciaux et améliorer les processus. Cela peut également introduire des risques, y compris la perte de données.

De nombreuses techniques d'atténuation des risques peuvent être employées par les parties impliquées dans les services numériques interentreprises (B2B), dit Smith. Cela comprend l'élaboration d'accords commerciaux complets avec des partenaires qui abordent les divers risques et responsabilités. Les entreprises peuvent également établir des contrôles de cybersécurité et de confidentialité des données pour garantir la sécurité de la transmission et du stockage des données.

«Les entreprises exigent généralement que ces connexions B2B soient surveillées pour s'assurer que les politiques et procédures sont respectées», explique Smith. «En outre, les meilleures pratiques recommandent que de fréquentes évaluations des risques par des tiers soient menées pour garantir que tous les participants à la chaîne d'approvisionnement numérique respectent les exigences et les normes de sécurité et de confidentialité du secteur.»

ISG

Les entreprises s'appuient également davantage sur les canaux de vente numériques, tels que le commerce électronique, les e-mails, les SMS, les applications mobiles et les événements en ligne pour atteindre leurs clients ou prospects.

«Nous risquons souvent voir ici [are] le manque de clarté autour d'une stratégie multicanal, ou si le passage complet au numérique le manque de stratégie pour permettre le changement par le partenaire, le client, le consommateur à l'autre bout », dit Chowning. «Sans la stratégie pleinement définie et sans orienter les priorités et les investissements, les organisations peuvent se trouver dans une situation de priorité en constante évolution où aucun des canaux ne progresse effectivement.»

Certains efforts pour créer plusieurs canaux numériques se sont même transformés en une forme de luttes intestines, Chowning dit. «Faire des canaux multiples la responsabilité et la responsabilité d'une seule équipe de direction est souvent une stratégie d'atténuation très importante» pour éviter cela.

Internet des objets (IoT)

Entreprises du secteur manufacturier, de la santé, de la vente au détail et d'autres secteurs ont commencé à déployer en masse des technologies IoT pour suivre l'emplacement des actifs, surveiller les performances des équipements, recueillir des données sur l'utilisation des produits, etc.

Les avantages potentiels sont convaincants, notamment des chaînes d'approvisionnement et des usines plus efficaces, une meilleure maintenance des équipements et des produits , des expériences client améliorées et des réductions de coûts grâce à l'évitement des pertes de marchandises. Mais les risques sont également élevés. Les attaques de déni de service distribuées, par exemple, ont déjà été imputées aux appareils connectés, et les stratégies IoT introduisent de nombreux points d'entrée pour le piratage, y compris les appareils connectés eux-mêmes.

Les appareils connectés au sein de l'entreprise peuvent potentiellement inclure n'importe quoi, du HVAC aux systèmes, aux serveurs et autres équipements informatiques, aux véhicules, aux systèmes d'éclairage, aux thermostats, aux appareils électroménagers, etc. Les organisations doivent rechercher des moyens de sécuriser et d'atténuer le risque des périphériques en réseau afin de limiter les connexions de ces périphériques à d'autres périphériques, dit Smith, et dans certains cas de les placer dans des réseaux séparés.

«En outre, des efforts particuliers doivent être fournis pour être pris pour coordonner étroitement avec les fabricants de périphériques pour aider à garantir que ces types de périphériques sont tenus à jour pour [operating system] les correctifs et ont des contrôles appropriés pour les sécuriser », dit Smith.

D'autres bonnes pratiques incluent l'exigence des fabricants de périphériques par le biais de contrats à fournir des moyens de garder les appareils à jour et sécurisés; et

l'analyse des réseaux d'entreprise pour détecter les dispositifs IoT à la recherche de signes d'activité suspecte.

Automatisation et analyse

Les entreprises s'efforcent d'automatiser les processus manuels chronophages et exigeants en main-d'oeuvre alors qu'elles cherchent à accélérer les opérations, à réduire les erreurs, et réduire les coûts.

Des technologies telles que l'IA et l'automatisation des processus robotiques (RPA) peuvent aider à automatiser des tâches telles que la saisie de données, améliorant ainsi considérablement la manière dont les processus métier sont gérés, mais elles peuvent également présenter des risques.

Les principaux composants de risque avec l'analyse, l'IA et le ML sont les ensembles de données utilisés par les scientifiques des données pour former les modèles et les plates-formes sur lesquelles ces modèles sont générés, dit Smith.

a élaboré des contrats pour gérer les partenariats Big Data, pour limiter les données utilisées dans les ensembles de données au minimum nécessaire et utiliser des données anonymisées lorsque cela est possible, dit Smith.

Certains des risques d'automatisation Cela peut provenir d’une incapacité à évoluer suffisamment rapidement ou à répondre aux attentes.

«L’écosystème de l’automatisation subit actuellement des changements importants», explique Ehsan de Cervello. «Avec le recul, cela a commencé par l'externalisation des processus, puis l'optimisation des processus – Lean, Six Sigma – vers la RPA. Ce que nous voyons maintenant, c'est une convergence de la RPA et de l'IA pour résoudre des problèmes commerciaux complexes. »

Cette congruence de l'IA et de la RPA ouvre de nouvelles possibilités et des cas d'utilisation qui n'étaient pas possibles dans le passé, dit Ehsan, comme le document intelligent traitement avec une capacité de 175 milliards de paramètres d'apprentissage automatique, ou l'utilisation de réseaux de neurones et d'apprentissage en profondeur pour détecter les anomalies dans les transactions.

Les organisations doivent définir tôt les attentes en matière d'automatisation et impliquer les parties prenantes de l'entreprise et de l'informatique pour sensibiliser avantages, capacités et utilisations possibles de l'automatisation, dit Ehsan. Ensuite, ils devraient introduire des projets pilotes rapides, petits et à court terme qui se concentrent sur les avantages.

«Tirez parti des ressources hautement qualifiées dès le début en embauchant du personnel ou en engageant des consultants pour mettre en place la gouvernance, les cadres, la gestion du changement et la communication, les modèles », explique Ehsan.

Atténuation des risques numériques en action

Avec toute initiative de transformation numérique, les organisations doivent évaluer minutieusement les risques, y compris ceux associés aux plates-formes technologiques sur lesquelles elles utilisera – via la collaboration entre l'informatique, la sécurité, la gestion des risques, le juridique et d'autres parties intéressées. En déterminant quels sont les risques les plus importants, les responsables informatiques et de sécurité peuvent alors aborder les initiatives de transformation dans cette perspective.

Park Industries

Park Industries, un fournisseur de systèmes de fabrication, a plusieurs efforts de transformation numérique en cours, notamment l'automatisation des processus métier, l'intégration des systèmes d'entreprise, les migrations cloud et l'analyse des données liées à l'IoT.

«Sécurité de l'information et qualité des données sont deux des risques les plus importants face à ces initiatives de transformation », déclare David Lloyd, directeur informatique chez Park Industries. «Avoir une stratégie globale de données qui inclut la sécurité, des privilèges basés sur les rôles ainsi que l'identification de sources uniques de vérité aident à atténuer ces risques.»

La plupart des organisations reconnaissent que tirer parti du cloud, de l'IA, de l'IoT et d'autres technologies peut offrent des avantages substantiels tels qu'une plus grande agilité commerciale, une plus grande évolutivité des services et une réduction des coûts, dit Smith. «Cependant, des techniques de gestion des risques entièrement nouvelles doivent être mises en œuvre pour soutenir ces capacités de transformation», dit-il.