Des SI compétitifs, agiles, fiables et sécurisés : existe-t-il une recette miracle ?
La transformation numérique est l’une des priorités majeures pour les entreprises qui veulent rester compétitives. Elle vise à améliorer fondamentalement les performances de l’entreprise par l’utilisation de toutes les ressources du numérique. Comment apporter une vraie valeur ajoutée aux métiers tout en maitrisant les coûts et les cyber-risques associés à une interconnexion massive ? Quels sont les ingrédients du succès ? Tel était le thè³¾±ð du think tank animé par Thales lors du dernier de Paris.
Réunissant responsables sécurité (CISO) et responsables techniques de l’IT (CTO) de grands groupes (industrie, banque, pharmaceutique…), le débat, animé par Laurent Kettela, Responsable Programme Cybersécurité et Transformation de Thales, avait pour objectif de poser les principaux challenges et d’identifier, au travers de retours d’expérience, les meilleures pratiques gagnantes pour une transformation numérique réussie.
Enjeu n°1 : rendre l’entreprise plus « agile » et augmenter son efficacité opérationnelle - en apportant une vraie valeur ajoutée aux métiers -, tout en maitrisant les coûts, à travers les nouvelles solutions de digitalisation et, implicitement, le changement de son modèle de production des services IT. La « 4è³¾±ð révolution industrielle » a débuté : on entre dans une nouvelle ère, celle de « l'ubérisation » des industries et des métiers de l'entreprise.
Enjeu n°2 : en parallèle, face à la l’explosion des cyber-menaces, les entreprises devront investir davantage dans la cyberdéfense. Il s’agit là d’un enjeu majeur pour assurer leur pérennité. Une problématique complexe abordée suivant les trois angles clés : de la gouvernance et de l’organisation, des technologies et de la communication.
Des objectifs partagés à tous les niveaux de l’organisation
Si les problématiques diffèrent d’une entreprise ou d’un secteur d’activité à l’autre, les grandes tendances sont partout identiques : des organisations de plus en plus complexes et qui évoluent en permanence. Il est indispensable de trouver un juste équilibre entre les bénéfices du « tout numérique » - la valeur apportée aux métiers de l’entreprise - et les risques/coûts de sécurité.
L’approche doit être pragmatique, adaptée au contexte et à la maturité de l’entreprise. Il est indispensable que les objectifs soient partagés au plus haut niveau par le comité de direction et qu’une stratégie en découle. La déclinaison de la stratégie par les équipes IT et sécurité résultera d’un travail collaboratif avec les différents métiers - achats, production, finance, marketing… – et ce, quel que soit le type d’organisation : matricielle, hiérarchique, etc. La transformation numérique touche à tous les domaines de l’entreprise et implique la collaboration avec les équipes concernées – selon une approche « lean ».
Technologies : une approche pragmatique et itérative
Comment appréhender et tirer le meilleur parti de toutes les technologies disponibles… qui évoluent sans cesse, ont des niveaux de maturité variables et sont parfois complexes à mettre en œuvre ? L’approche doit là encore être pragmatique et s’appuyer, par exemple, sur de nouveaux modèles de mise en œuvre - méthode Agile, DevOps… - basés sur des itérations qui permettent d’aboutir à un produit final mature répondant aussi précisément que possible aux objectifs et besoins des utilisateurs.
DevOps : pour une plus grande fluidité entre développement et exploitation
En mode « DevOps », les équipes de développement (Dev) et d’exploitation (Ops) sont organisées autour des mêmes systè³¾±ðs et travaillent main dans la main. Cette approche permet de résoudre l’antagonisme entre les objectifs des équipes d’exploitation, focalisées sur la stabilité du systè³¾±ð, parfois au détriment du temps et du coût, et les équipes de développement dont l’objectif principal est d'apporter les changements nécessaires au moindre coût et le plus vite possible, parfois au détriment de la qualité lorsque des retards viennent mettre le planning en péril.
La méthode DevOps préconise :
- un déploiement régulier des applications ;
- une pratique des tests au plus tôt et dans un environnement similaire à celui de production ;
- une intégration continue incluant des "tests continus" ;
- une boucle d'amélioration courte (i.e. un feedback rapide des utilisateurs) ;
- une surveillance étroite de l'exploitation et de la qualité de production au moyen de métriques et indicateurs "clés".
Face à la multitude de technologies - Social, Mobile, Analytique et Cloud (SMAC) - et de principes de développement disponibles, les choix, résultant d’un travail collaboratif entre les métiers, l’IT et la sécurité, seront fonction des compétences disponibles dans l’entreprise, de la maturité des technologies et de l’adéquation aux objectifs stratégiques : acheter ou développer, identifier les risques, tester au fur et à mesure, etc.
Adapter la communication et le reporting aux attentes
Il n’y a pas de reporting type. Le reporting doit être adapté en fonction des demandeurs, sponsors et parties prenantes du projet : un responsable de production, concentré sur les cadences de production, se focalisera sur la disponibilité / indisponibilité du systè³¾±ð (facteurs techniques ou sécurité) ; un dirigeant aura besoin d’une vision globale : peu d’indicateurs, mais des grandes tendances, des benchmarks comparatifs … ; un gouvernement, soucieux de protéger le patrimoine du pays, aura besoin de s’assurer que ses opérateurs vitaux respectent les exigences de sécurité fixées par la loi ; le client final voudra s’assurer que ses données personnelles sont bien protégées etc.
Conclusion
Il n’y a donc pas de recette universelle pour un SI compétitif, fiable, agile et sécurisé mais un ensemble « d’ingrédients » qui concourent au succès : travail collaboratif et objectifs partagés, choix technologiques et méthodologiques pragmatiques, communication et reporting ajustés vis-à -vis des personnes les plus susceptibles de contribuer à valoriser les produits de l’entreprise.