RiskInsight

Le blog cybersécurité des consultants Wavestone

L’analyse de données et l’automatisation au cœur du pilotage de la résilience opérationnelle, interview de Roxane Bohin

Roxane, peux-tu nous présenter ce qu’est le pilotage de la résilience opérationnelle ?

Les tableaux de bord et KPIs qui véhiculent des messages concrets et appellent à l’action sont souvent le moteur du succès des initiatives de résilience opérationnelle.

La résilience opérationnelle rassemble des disciplines auparavant gérées en silos : continuité d’activité et reprise métier et IT, gestion d’incident et de crise (IT, métier et cyber), cyberdéfense, gestion des tiers, gestion des risques opérationnels. Un pilotage efficace de la résilience opérationnelle nécessite une analyse des données relatives à tous ces sujets afin de produire une vision réaliste de la résilience globale de l’entreprise, et notamment de ses services critiques. Ceci nécessite une cartographie complète des services critiques et de leurs dépendances (processus métiers, applications, fournisseurs, équipes, bâtiments…) et une analyse continue de la résilience des dépendances.

Pour parvenir à cet objectif, un enjeu majeur est lié à l’outillage et l’automatisation. Nous voyons apparaître sur le marché des solutions complètes de « Gestion de la Résilience Opérationnelle » chez des éditeurs spécialisés comme Fusion Risk Management, Castellan ou non spécialisés, comme ServiceNow.

 

Quels sont les défis à relever dans ce domaine ?

Selon la maturité de l’entreprise, chaque étape du projet peut poser des défis particuliers.

 

Défi n°1 : le modèle de données

Le modèle de données de la cartographie de résilience opérationnelle doit être créé en tenant compte des services métiers critiques et de leurs dépendances. Idéalement, les organisations réutilisent les inventaires existants (par exemple : CMDB, inventaires des fournisseurs, BIA, systèmes RH, etc.) et organisent des ateliers pour tirer parti des connaissances des représentants métier et des experts IT, des fournisseurs, etc. Le défi découle de la nécessité de rationaliser tous les éléments dans un format permettant l’analyse des données. Cela signifie que même si l’on débute avec Excel, il est important de définir des règles précises (référencement commun, une information par ligne, etc.).

 

Défi n° 2 : identifier les lacunes

Une fois cette cartographie effectuée, les organisations doivent identifier les menaces existant sur l’ensemble de la chaîne, ainsi que les compétences de résilience dont l’entreprise dispose déjà pour atténuer le danger lié à ces menaces. Ces compétences peuvent être spécifiques à un élément de la chaîne ou bien générales. Ceci permet aux organisations de créer des indicateurs qui lui permettront d’identifier ses lacunes en termes de résilience. Deux sortes de lacunes peuvent être identifiées :

  1. Une dépendance n’a pas de contingence adéquate

Ceci peut être identifié lors de l’analyse initiale, grâce à des contrôles en place, ou lors de tests.

Exemple : une personne veut retirer des espèces. En temps normal, il a accès à ce service via un distributeur automatique de billet. Plusieurs éléments sont nécessaires au bon fonctionnement du service « normal » :

  • Le distributeur physique en lui-même
  • Le système d’authentification des clients via leur carte bancaire
  • Le logiciel de gestion des comptes client fourni par un tiers permettant la vérification du solde

Ce service peut être affecté par les menaces suivantes :

  • Perte informatique majeure (causée ou non par une attaque cyber)
  • Perte du fournisseur de logiciel
  • Sinistre bâtiment affectant le distributeur physique

Considérant que la période avant que l’impossibilité de retirer de l’argent ne devienne une source intolérable de préjudice pour le client (c’est-à-dire la tolérance à l’impact) est de 4 heures, la banque doit se poser les questions suivantes pour identifier les lacunes en matière de résilience :

  • RTO (Recovery Time Objective) : En cas de perte informatique, le distributeur et le système d’authentification peuvent-il être remis en marche en moins de 4 heures selon leur RTO ? Un test a-t-il été réalisé ?
  • Plan de réversibilité : En cas de panne majeure ou banqueroute du fournisseur de logiciel de gestion des comptes, a-t-on un fournisseur alternatif prêt à délivrer le service sans dépasser cette période de 4h ? Dans le cas contraire, dispose-t-on d’un plan permettant de délivrer ces activités avec des capacités internes ?
  • Contingences : Existe-t-il un processus dégradé permettant de distribuer des espèces en agence par exemple, afin de remplacer un distributeur défectueux ? Quelles sont les dépendances de ce processus ? Peut-il être réalisé sans système informatique ?

Une fois ces lacunes identifiées, des scores de résilience pour les différents composants peuvent être calculés.

  1. L’absence d’une compétence clé de résilience

Un certain nombre de compétences clés dans les différents domaines de résilience (continuité d’activité métier et IT, gestion des tiers, cyberdéfense, reconstruction informatique, gestion de crise) doivent être en place dans l’organisation. Wavestone a identifié une liste de 50 compétences clés génériques, liées aux menaces les plus communes, et déploie ce modèle chez nos clients pour mesurer leur niveau de maturité global.

Les compétences clés peuvent être par exemple :

  • Gestion de crise : canal de communication alternatif
  • Reconstruction IT : coffre-fort cyber
  • Gestion des tiers : SLA de crise en place avec les tiers
  • Continuité d’activité métier et IT : processus dégradés sans IT
  • Cyberdéfense : procédure d’authentification d’urgence

 

Défi n°3 : la gouvernance

Enfin, une gouvernance doit être mise en place pour garantir que les données de résilience opérationnelle sont maintenues à jour et que les tableaux de bord générés sont utilisés pour la prise de décision dans les bons comités. Par exemple, l’adhésion de la direction est nécessaire pour financer et hiérarchiser la correction des lacunes identifiées.

              Concrètement, que doit-on mesurer ? 

La question sous-jacente est la suivante : à quel point l’organisation est-elle préparée à faire face à un incident majeur ?

  • Est-ce que les dépendances sont identifiées ?
  • Est-ce que la documentation nécessaire est en place ?
  • Est-ce que les menaces sont connues ?
  • Est-ce que des contrôles sont bien en place pour indiquer une lacune ?
  • Est-ce que les employés de l’entreprise sont prêts à répondre et minimiser l’impact opérationnel d’un incident majeur ?

 

Quelles sont les attentes des clients ?

À ce jour, trois thèmes principaux ont émergé de nos constats sur le terrain aux côtés des clients.

Tout d’abord, les organisations ont besoin d’aide pour créer un inventaire en rationalisant plusieurs sources avec divers formats de données.

Ensuite, nos clients ont régulièrement besoin d’aide pour la mise en place de tableaux de bord. Cela peut prendre la forme de la conception d’indicateurs de performance clés (KPI) utiles (actionnables, conduisant à la prise de décision) ou de la création de tableaux de bord visuels dans un outil tel que PowerBI.

Enfin, une demande émergente concerne le déploiement d’outils. Wavestone peut aider les organisations tout au long de leur recherche d’outils correspondant le mieux à leurs besoins :

  • Réalisation d’un benchmark
  • Création du cahier des charges grâce à des ateliers avec les futurs utilisateurs
  • Création d’un RFP et son suivi pour évaluer des fournisseurs

Un exemple concret de l’expertise de Wavestone dans ce domaine est la deuxième édition du panorama des fournisseurs d’outils de résilience opérationnelle. Il capte les principaux acteurs du marché à travers une gamme de sujets tels que les notifications d’urgence, la gestion de la résilience (cartographie, tests, tableaux de bord), la gestion de crise et la simulation d’incidents métier ou cyber. Le panorama vise à englober les innovateurs et les acteurs traditionnels, les start-up et les grandes organisations.

 

Un dernier conseil pour les lecteurs ?

Pour les clients français n’ayant pas lancé de programme de résilience opérationnelle, pour le moment, deux conseils sont à retenir :

  • Une fois la cartographie réalisée, il faut réfléchir à la manière de stocker les données (c’est-à-dire le modèle de données). Pour assurer la pérennité, Excel ne sera pas forcément suffisant.
  • Ne pas hésiter à réutiliser ce que l’organisation possède déjà en termes de continuité d’activité et IT, de gestion des tiers, de risque opérationnel, de cyberdéfense, de reconstruction informatique et de gestion de crise.
Article précédent Cyber-attaques : quels risques sur les sauvegardes et comment s’en protéger ?
Article suivant Les enjeux et les tendances de la sécurité du cloud, interview de Vincent Ferrie

Sur le même thème

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Back to top