EVOLUTIONS TECHNOLOGIQUES ET LEURS IMPACTS SUR LA GOUVERNANCE

à lire, à voir

Les évolutions technologiques sont de plus en plus rapides, de plus en plus prégnantes et influencent tant les comportements individuels que les entreprises. Nouveaux supports, nouvelles architectures, nouvelles opportunités, nouvelles fonctionnalités, nouveaux usages…, qui doivent s’accompagner de la mise en place d’une gouvernance accrue et de nouveaux contrôles pour garantir la sécurité et maintenir sous contrôle les risques associés.

Comme chaque année, les auditeurs IT Advese ont participé à la convention Eurocacs, qui réunit professionnels de l’audit et de la gestion des risques IT, et qui s’est tenue cette fois-ci à Munich. Cette convention a été l’occasion d’échanger avec les autres professionnels sur les grandes tendances technologiques, les risques et les enjeux associés à leur mise en œuvre et leurs impacts en termes de gouvernance et de contrôle.

Les principales évolutions technologiques

Depuis les années 60, chaque décennie se caractérise par de nouvelles évolutions, voire révolutions, technologiques, les plus récentes étant l’essor d’Internet et des nouveaux supports mobiles.

Le Cloud Computing
Aujourd’hui, le Cloud Computing et ses déclinaisons IaaS (Infrastructure as a Service), PaaS (Platform as a Service), SaaS (Software as a Service) … permettent de répondre favorablement à de nouveaux enjeux de souplesse, d’agilité, de configuration et d’évolutivité, et de satisfaire aux exigences de disponibilité. Bien que les dépenses « Cloud » ne représentent que 3% des dépenses IT en 2012,la croissance attendue est de 19% et 170 000 offres de SaaS existent déjà sur le marché.

La mobilité
L’universalisation des smartphones, tablettes ou, plus généralement, des supports mobiles est en route : les projections montrent qu’en 2015, le nombre de supports mobiles connectés aura dépassé celui des supports câblés. 350 millions d’employés en 2014 utiliseront leur smartphone ou tablette au bureau. 85 millions d’apps sont déjà téléchargées par an. La mobilité permet un accès plus simple, plus ergonomique à l’information, partout et en temps réel, et ouvre la porte à de nouveaux usages potentiels, tout en créant de nouvelles contraintes. La pratique « Bring your own device », qui consiste à utiliser ses propres équipements personnels à des fins professionnelles, encourage et prolonge cette tendance, non sans générer au passage des questions juridiques, techniques et sociales sur la propriété ou la sécurité de l’information. D’après l’IDC, seulement la moitié des informations qui devraient être protégées le sont réellement.

Un « réseau de choses connectées »
Une autre des grandes tendances actuelles est celle d’un univers connecté, un véritable « réseau » d’objets interconnectés, univers qui s’appuie sur des capteurs, actionneurs ou mini-ordinateurs en réseau, permettant aux objets de communiquer entre eux, en y ajoutant l’intelligence informatique suffisante pour pouvoir générer des actions ou évènements.

D’autres innovations, en cours de popularisation et d’essor, comme la réalité augmentée, le serious game, le recours de plus en plus fréquent aux réseaux sociaux ou à des espaces collaboratifs, le LTE (Long Term Evolution – future 4G qui permet d’atteindre des performances 50 fois supérieures à la 3G), le Big Data (pour le data mining et le BI), viennent enrichir ce panel et proposent de nouveaux usages, fonctionnalités ou comportements de travail.

Les risques et enjeux associés

Ces innovations technologiques, si elles sont porteuses de valeur, de grandes transformations et d’évolutions, s’accompagnent également de risques intrinsèques de sécurité, d’intégrité ou de fiabilité, et soulèvent de grandes questions :

  • Concernant le cloud computing : sont stockées les données ? Quelle législation s’applique ? Qui est propriétaire des données ? Qui peut accéder aux données ? Qui peut les modifier ? Comment s’assurer de la réversibilité ? Comment auditer un fournisseur de cloud ? Qui contrôle la communication, notamment dans le cas d’une crise ?…
  • Concernant les supports mobiles et la pratique « Bring your own device » : Comment faire appliquer une politique groupe sur un support privé ? Comment assurer la sécurité (physique et logique) des e-devices ? Comment être certain que des applications malveillantes ne seront pas installées ? Comment imposer la destruction de données groupe si elles sont stockées sur des supports privés ?…
  • Concernant le réseau de choses connectées : les études sur le sujet laissent penser que d’ici 15 ans, 70 milliards d’objets seront connectés entre eux. Qui a la responsabilité de cet immense réseau, comment cette responsabilité se répartit-il ? Comment s’assurer de la sécurité des données pendant leur traitement, leur transmission… ? Comment minimiser les risques de propagation de logiciels malveillants ?

Les impacts sur la gouvernance

Les bonnes pratiques de gouvernance existantes ne suffisent pas à contrôler et piloter ces nouvelles technologies, ces nouveaux usages ou ces nouveaux comportements.

Il est par conséquent indispensable que l’évolution des pratiques de gouvernance épouse ces tendances technologiques et que les auditeurs IT identifient les nouveaux points de contrôle à mettre en œuvre. La première étape essentielle étant de sensibiliser les populations dans l’entreprise aux risques liés à l’utilisation de ces nouvelles technologies et la publication d’une charte de sécurité informatique adaptée.

D’ores et déjà un certain nombre de référentiels se sont adaptés pour intégrer ces nouvelles technologies et nouveaux usages. On peut citer par exemple une des déclinaisons de COBIT 5 qui se focalise sur les enjeux de sécurité de l’information (COBIT 5 for Information Security) ou sur les risques liés au Cloud (IT Control Objectives for Cloud Computing: Controls and Assurance in the Cloud ).

 

  • Twitter
  • LinkedIn
  • viadeo FR