Identification and mapping of key processes

Let’s start with a definition from the regulator: the European Central Bank defines cyber-resilience as the ability to protect oneself and to quickly resume activities in the event of a successful cyber-attack. This definition has led many companies to adopt a 360° vision on the topic (prevention, crisis management, reconstruction, business continuity, etc.) through the prism of a concrete cyber-attack on key business processes. The novelty lies above all in the fact that all the analysis is focused on critical business chains, even though it is still necessary to know them. Identifying and mapping key processes is often the most complex part of a Cyber Resilience Program. Unfortunately, there is no systematic method: a list drawn up by the Risk Department, a decision by the Director of Operations, recycling of business impact analyses (BIA), criteria established during regulatory audits, etc. One thing is certain, this list cannot be drawn up by the cybersecurity team in its own corner and requires the involvement of the business lines as early as possible in the process.

Analyzing the cyber-resilience of a business chain: the A.R.M. method

The cyber-resilience of a business chain can be improved by acting on several parameters: 1/ avoidance of the attack, 2/ rapid reconstruction, 3/ maintenance of business activity during the attack. As a result, many companies have structured their Cyber Resilience Program around 3 indicators: A (AVOID), R (RECOVER) and M (MAINTAIN), making it possible to target one threat at a time. Of course, most current initiatives are working on Ransomware scenarios (Ryuk, Maze, Sodinokibi, etc.).

A – AVOID

The first step is to assess the level of resistance of business chains to the feared cyber threats. The ATT&CK Framework is increasingly used here and this indicator can simply correspond to the percentage of techniques used by the attacker against which the business chain is protected (for example, the chain is protected against 60% of the attack techniques used by the ransomware groups of the moment). The level of assurance required differs from one company to another: even if most companies still work via self-declaration, it is possible to integrate a review of evidence or Redteam audits into the approach to make the results more reliable.

R – RECOVER

The second step requires assessing the reconstruction time of the business chain in the event of an attack (for example, the chain can be reassembled in 9 hours after a ransomware attack). This time can obviously be different from one attack to another: destruction often restricted to Microsoft systems, possibility to use backups or not, integrity checks necessary after reconstruction, etc. This requires a detailed analysis of the impacts of each attack studied. Be careful, when mapping, it is necessary to consider the reconstruction of ALL the assets impacted by the attack. It is often observed that a few specific assets can double or triple the overall reconstruction time. Here again, the level of insurance required differs from one company to another: it is possible to work on paper, but the real reconstruction test is clearly the best option for reassurance.

R – MAINTAIN

The last step requires assessing the ability of the business lines to work in a degraded mode before returning to normal. This is a purely business indicator, which obviously differs from one sector and chain to another: it can be a question of transactions, reception of parcels or number of passengers depending on the sector and the chosen chain. To calculate it, it is necessary to work with the business on the assumption of long-term unavailability of the critical chain and to evaluate the percentage of the activity that can be delivered in another way. To understand the approach in a theoretical, and deliberately provocative way: does a business process vulnerable to a cyberattack, but whose activity can be maintained without an IS for a few days, really need to increase investments in cybersecurity? This is the type of topic that a Cyber Resilience Program must be able to arbitrate.

Most Cyber Resilience Strategies and Programs on the market obviously embrace this recurring assessment phase, adding over the years cyber threats and business chains to be analyzed. At the same time, they are managing a series of cybersecurity, IT and business projects to increase the level of resilience. The most mature Programs also maintain catalogs of solutions to speed up the process and improve the scoring of the various business lines (data safes, standardized backups, market partnerships, shared business fallback solutions, etc.).

As we have seen, a cyber-resilience strategy involves multiple skills: the cybersecurity department to select threats and assess the robustness of chains, the business lines to select critical chains and work on business continuity, IT and the Business Continuity Plan (BCP) for crisis management and assessment of reconstruction capacities. The best solution is to host this type of Program directly at the Operations Department level, in order to influence all these channels. However, these Programs are currently structured at the level of the CISO or the Risk Management Department. The key in this case is to deploy effective governance that allows all stakeholders to remain within their area of expertise.

Cet article Cyber-resilience, an opportunity to bring cybersecurity and business closer together est apparu en premier sur RiskInsight.

Des processus définis mais rarement bien déployés

La phase de définition des processus nécessite une énergie importante. S’ils sont généralement bien définis avec par exemple des kits de communication, ces derniers ne sont en revanche que partiellement déployés. Or, la phase de déploiement mobilise une énergie au moins aussi importante que la phase de définition.

Les DSI sont aujourd’hui bien dotées d’équipes de processus transverses. Mais celles-ci n’arrivent toujours pas à gagner en légitimité et à mobiliser les équipes opérationnelles, générant ainsi des pratiques hétérogènes.

Élargir au maximum le réseau d’acteurs au sein de la DSI 

Les équipes de processus transverses ont l’habitude de définir les premières briques du processus mais sans impliquer les opérationnels. Ces mauvaises habitudes engendrent une réelle complexité à le déployer. Celui-ci peut même être parfois rejeté par les équipes.

Impliquer des représentants d’opérationnels, en ciblant les plus impactés par le processus, s’avère ainsi nécessaire dès le début du projet. L’enjeu est alors de pouvoir répondre aux interrogations suivantes : quels enjeux opérationnels se cachent derrière la mise en place ou la revue du processus ? Quels sont les bénéfices financiers attendus ? Quelle est notre ambition et quels moyens mettre à disposition des acteurs pour atteindre les objectifs définis ?

Les premiers échanges avec les acteurs sont précieux. Il s’agit là de créer le premier cercle de votre réseau de processus. Par la suite, ce premier cercle travaille sur une première conception (formalisation, identification des acteurs et des rôles / responsabilités associés, ainsi qu’une précision des outils nécessaires).

Après cette première définition, il est nécessaire de présenter cette première version à d’autres acteurs de la DSI. Cette action a un double enjeu : challenger le processus défini et réaliser une première communication autour du processus. Rester à l’écoute de tout acteur et prendre en compte les remarques pertinentes permet de concevoir un processus en phase avec les attentes et besoins des opérationnels.

Ajouter ses « amis  métiers » dans le cercle de définition… et avoir un ami proche avant de déployer

Afin de donner plus de légitimité au processus défini, des présentations régulières auprès d’acteurs métiers peuvent être réalisées. Ainsi votre cercle continue à s’élargir tout en assurant une bonne précision des travaux réalisés. A ce stade, de nouveaux ajustements peuvent être apportés suite aux retours de ce réseau. L’implication du métier est un des leviers de motivation des acteurs de la DSI dans le déploiement des processus. Il reste à vérifier que le processus est bien adapté au terrain.

Quand cela est possible, il ne faut pas hésiter à déployer sur un périmètre restreint (site pilote). Il s’agit de la dernière étape pour apporter les derniers ajustements et assurer une prise en compte des retours terrain avant le déploiement. Ce travail privilégiant un périmètre limité permet de mettre en évidence les bénéfices réels et les éventuelles difficultés rencontrées. Un bilan est à faire à l’issue du pilote et à partager avec l’ensemble du réseau de votre processus

Par cette démarche, l’ensemble des acteurs ont pris connaissance du processus, ont pu mesurer les bénéfices et éventuelles difficultés grâce au site pilote. Ils sont maintenant prêts à le mettre en œuvre. Une bonne implication des opérationnels les plus concernés dès les premières phases de définition du processus  ainsi qu’un réseau large impliquant d’autres acteurs de la DSI et Métiers facilitera et œuvra à la réussite du projet.

Insistons néanmoins sur le fait qu’une mise en place de processus ne se limite pas à son déploiement. La gouvernance associée au processus et le dispositif d’amélioration continue sont également à définir avec deux rôles clés : le process owner et le process manager. Deux rôles fondamentaux pour asseoir une relation DSI métiers de qualité.

Cet article Les processus : réseauter pour mieux déployer ? est apparu en premier sur RiskInsight.

Déchiffrer la complexité des modèles fournisseur

La maîtrise de la facturation du fournisseur constitue le 1^er pilier de ce pilotage. De prime abord, le système de facturation du Cloud peut paraître simple : prix à l’unité, facturation au volume. Ce mode de fonctionnement peut cependant générer des surprises au bout de quelques cycles de facturation. En effet, le modèle contractuel embarque fréquemment des éléments structurants tels que les volumes ou montants minimaux, ou encore les effets de seuil. De telles clauses induisent des risques pour la DSI : si la demande du Métier n’est pas au rendez-vous, l’équilibre économique du service pourrait ne pas être atteint.

Avant de contractualiser, une attention particulière doit par conséquent porter sur la compréhension du modèle économique du fournisseur, et notamment sur les services et options qui sont les plus rentables pour ce dernier. En effet, les tarifs de service  anormalement bas pourront cacher des options coûteuses qui s’avéreront finalement nécessaires (extension de volumes de stockage, frais d’interconnexion, etc.).

Construire des scénarios d’utilisation des services

La réflexion sur l’équilibre économique doit amener à piloter les recettes de la DSI et implique donc de bénéficier d’une vue au plus juste des besoins du Métier, présents et futurs. Il s’agit, pour la DSI et ses clients, de construire et de suivre une projection de l’évolution des volumes d’utilisation des services Cloud, et si nécessaire de formaliser des scénarios d’évolution. Cette concertation DSI / Métiers permet d’obtenir un engagement mutuel entre la DSI et les Métiers.

Cette connaissance permettra à la DSI de souscrire au service Cloud le plus adapté, d’évaluer le seuil de rentabilité de ce service, et de mettre en place une facturation à l’usage permettant l’équilibre économique. Pour le Métier, cette collaboration permettra de disposer d’un certain degré de maîtrise financière de ses dépenses informatiques.

Les scénarios d’utilisation des services constitueront in fine des entrants précieux dans la démarche de construction budgétaire, pour les Métiers comme pour la DSI.

Accompagner le Métier dans la gestion de sa demande

La mise en place d’outils ergonomiques pour l’accès au Cloud (portails self-service par exemple) et l’amélioration de la qualité ont pour effet de faciliter l’accès aux services informatiques pour les utilisateurs, qui ont ainsi naturellement tendance à en augmenter leur utilisation : cette amélioration de l’offre conduit à une demande accrue.

La facturation à l’usage par les fournisseurs, associée à cette augmentation de la demande peut d’ailleurs induire une augmentation de la facture globale des services Cloud. Sans freiner la productivité des Métiers, la DSI se doit de les accompagner et les conseiller, en mettant à leur disposition des outils de suivi de l’usage des services IT.

Il s’agit avant tout de donner un maximum de visibilité au Métier sur ses consommations :

• Refacturer au Métier peu de temps après les consommations réelles, au mois par mois ;

• Produire un reporting opérationnel de l’utilisation des services, intégrant notamment un suivi des volumes consommés par rapport aux volumes prévus, et un système d’alertes en cas de surconsommation (et également de sous-consommation) ;

• Analyser cette consommation avec les Métiers pour ajuster les priorités et prévisions d’utilisation future.

Il est également recommandé de fournir les systèmes techniques de gestion de la demande (portails selfservice, outils de workflow), permettant au client de valider les besoins de ses utilisateurs.

Cet accompagnement de la demande constitue un véritable service fourni par la DSI, qui ne serait pas accessible en cas de souscription des services Cloud directement par les Métiers. Ces derniers n’ont en effet pas d’objectif régalien de maîtrise globale des coûts IT : il s’agit donc pour la DSI de valoriser l’image de ce service, qui constitue un réel élément différenciant.

Le Cloud ? Une raison supplémentaire de faire travailler main dans la main DSI et Directions Métiers !

Cet article Garantir l’équilibre économique de la DSI à l’ère du Cloud est apparu en premier sur RiskInsight.

Orchestrer la gestion de la demande en bonne intelligence avec les Métiers

Le processus de gestion de la demande doit faciliter l’alignement stratégique et clarifier la prise d’engagement. De fait, la construction d’une vision pluriannuelle du portefeuille projets doit permettre de favoriser les échanges entre la DSI et les Métiers. La DSI peut ainsi partager ses contraintes (donc sa capacité à faire) ce qui facilite la compréhension des Métiers vis-à-vis de l’IT. Par ailleurs, mener efficacement la gestion de la demande implique des décisions d’arbitrage plus argumentées et fondées sur des analyses d’impacts approfondies sur le portefeuille projets d’une part mais aussi sur la stratégie IT de manière plus globale. De son côté, la DSI doit également être plus précise sur les engagements qu’elle prend, étape par étape pour clarifier la valeur apportée et les conditions de réalisation. Par exemple, en fin d’étude d’opportunité, la DSI doit s’engager sur des KPI coûts / qualité / délai extrêmement précis.

Parallèlement, il est essentiel de remettre sous contrôle le pilotage des évolutions. Car s’il est bien maîtrisé pour les « projets », force est de constater que les dérives budgétaires sont fréquentes côté « évolutions ». Plusieurs pratiques permettent pourtant de limiter ces dérives. D’abord, il faut savoir détecter les projets qui sont dissimulés dans les évolutions. Il n’est pas rare que des évolutions aient en effet des impacts sur les architectures ou sur les coûts du run. Ensuite, la mise en place d’une gouvernance spécifique pour les évolutions est nécessaire. L’introduction de mailles d’arbitrage assure une meilleure anticipation des dérives budgétaires et donne des leviers d’action. On retrouve, en général, les mailles d’arbitrage par regroupement (logique de train d’évolution) ou encore par enveloppe (logique de validation trimestrielle).

Challenger le choix des solutions et des niveaux de services

Dans un contexte de maîtrise ou de réduction des coûts, la DSI ne doit pas se limiter à une posture d’ « exécutant ». Elle doit au contraire développer une posture de conseil et de prescripteur vis-à-vis des Métiers.

Tout d’abord, la DSI doit proposer aux Métiers un choix entre des solutions différenciées et évaluées. Il faut en effet éviter d’aller trop vite vers une solution informatique là où un processus métier manuel reste plus rentable et concevoir des solutions équilibrant processus métiers et outils informatiques. La proposition systématique d’au-moins deux solutions crédibles en ayant mesuré leurs avantages et inconvénients (évaluation en termes de valeur et de coût) est également une bonne pratique.

Par ailleurs, la DSI doit se doter d’une offre de services différenciée. Cette offre intègre différents niveaux de services et fournit de véritables alternatives aux Métiers si tant est que ces services soient  bien valorisés tant en termes de valeur que de coûts. La DSI doit également savoir créer de la rupture dans les services qu’elle rend, en identifiant des périmètres sur lesquels des offres low-cost sont pertinentes. C’est déjà le cas sur des services infrastructures comme la messagerie par exemple mais cela reste très marginal sur des services applicatifs.

Enfin, la DSI doit également renforcer la compréhension des coûts IT par les Métiers. Cela passe à la fois par une meilleure maîtrise de ses coûts IT mais également par la fourniture aux Métiers de clés de compréhension des paramètres influant sur les coûts IT dans leur langage. Il s’agit bien de redonner des leviers de maîtrise de la facture IT aux Métiers !

Donner à la DSI des rôles plus orientés métiers

L’évolution du cœur de métier de la DSI et de ses nouvelles responsabilités vers un rôle de partenaire exige une plus grande ouverture qui ne peut se faire sans une évolution des rôles et un apport de nouvelles compétences Métiers.

La DSI doit en effet s’approprier les enjeux de performance opérationnelle des Métiers et les décliner / diffuser au sein de la DSI. Des rôles vont renforcer cette diffusion : les business analysts pour traduire les besoins Métiers en solution IT, les architectes d’entreprise pour garantir la cohérence du SI avec ces mêmes besoins, etc. Il faut également créer de la proximité et de la légitimité avec les Métiers : le client manager, représentant des DSI au sein des Métiers, va garantir cette relation.

Au-delà de ces rôles, une évolution des compétences sera nécessaire. L’évolution vers la double compétence Métier / IT est assez évidente. Une évolution des compétences managériales sera également nécessaire pour renforcer la capacité de dialogue mais également l’excellence dans le pilotage des actions et des engagements.

Somme toute, renforcer la proximité avec les Métiers passe ainsi nécessairement par un changement de posture de la DSI. Ce partenariat Métiers / DSI ne sera possible que par l’évolution de la gouvernance, des processus de pilotage de la DSI et des rôles associés (incarnés par des acteurs précis dont le choix sera crucial).

Alors, prêt à changer de posture ?

Cet article DSI : renforcez votre proximité avec les Métiers ! est apparu en premier sur RiskInsight.