Volgens de National Information Systems Security Agency (ANSSI) zijn de ransomware-aanvallen in één jaar tijd verviervoudigd. De criminele activiteiten zijn weer opgelaaid door de gezondheidscrisis en het massale gebruik van online telewerkinstrumenten. Geconfronteerd met deze bedreigingen moeten bedrijven hun beveiligingsstrategie aanpassen, maar niet alleen dat. Alle governance moet opnieuw worden bekeken. Henri Puissant*, specialist in IS-organisatie en Yann-Eric Devars*, consultant in enterprise-architectuur, beide ORSYS-trainers, brengen ons hun expertise om deze transformatie van systemen en praktijken te starten.
Als de massale toetreding van bedrijven tot de cybersfeer nieuwe horizonten opent en aanleiding geeft tot talloze innovaties, wordt het ondernemingsbestuur op de proef gesteld, vooral op het gebied van veiligheid. Na datadiefstallen, ransomware (ziekenhuizen, overheden, bedrijven), cyberspionage (SolarWinds-affaire, enz.), aanvallen op de infrastructuur (Oldsmar-drinkwater, enz.) meten de leiders van landen, regeringen en bedrijven de kwetsbaarheid van hun organisaties en worden ze zich bewust zijn, of worden daartoe door de autoriteiten gedwongen, bewust te worden van de noodzaak om de architectuur van hun organisaties en informatiesystemen te controleren.
Het staatsbestuur wordt verstoord door cyberdreigingen
Aan het begin van de jaren negentig, net zoals Christoffel Columbus Amerika naderde, kreeg Timothy John Berners-Lee, door het World Wide Web te creëren, voet aan de grond in de cybersfeer. Hij kon zich niet voorstellen welk lot zijn ontdekking zou overkomen: de opkomst van GAFA, Cambridge Analytica, ransomware, enz.
58 jaar na de ontdekking van Amerika bracht Karel V juristen en theologen samen in Valladolid om de regels van de kolonisatie vast te stellen, dat wil zeggen de manier waarop de Indianen konden worden onderworpen en bekeerd. Op dezelfde manier promoot Sir Timothy John Berners-Lee, oud-president van het W3C en technisch toezichthouder van het web, dertig jaar na de ontdekking van het web, een contract waarin gedragsregels worden voorgesteld aan webspelers, zodat het een publiek goed blijft dienen voor de gemeenschap. de mensheid.
In Valladolid was er eigenlijk niets beslist tussen ethiek en belangen. Gevreesd moet worden dat hetzelfde zal gelden voor het initiatief van Sir Timothy John Berners-Lee en dat er in de loop van de tijd nieuwe evenwichten tot stand moeten worden gebracht. Staten hebben grote moeite met het vaststellen van wetten en het reguleren van het internet, waar zij geen controle over hebben. Daar worden ze al geconfronteerd met cyberaanvallen : Estland aangevallen door denial of service, Iran en de centrifuge-affaire, de VS en de SolarWinds-affaire, om er maar een paar te noemen. Staten rusten zichzelf uit met verdedigingsmiddelen, leggen beperkingen op aan bepaalde activiteitengebieden (gezondheidszorg, energie, voedsel, waterbeheer, enz.) en wijzen zo Operatoren van essentieel belang (OVI) om hun activiteiten en hun burgers te behouden.
Corporate governance wordt op zijn beurt beïnvloed door cybercriminaliteit
Net als bij staten is de navigatie van bedrijven naar deze nieuwe horizonten gevaarlijk. Aan het roer van bedrijven moeten leiders echte stormen trotseren. Volgens academicus Michel Serres betekent ‘sturen’ weten waar je vandaan komt, waar je bent geweest, waar je bent en dus het logboek en de staat van het schip goed kennen. Maar het betekent ook dat u weet waar u heen gaat en dat u uw route aanpast aan de staat van het schip en zijn ecosysteem. Dus hoe ontwikkel je een strategie? Met welke risico's zullen we te maken krijgen? Welke wettelijke, sociaal-technische en ecologische beperkingen moeten worden gerespecteerd? Welke organisatie moet er worden opgezet? Hoe kunnen we een dashboard creëren dat rapporteert over de toestand van het bedrijf in zijn ecosysteem en het effectief kan beheren?
Op al deze vragen zijn de volgende antwoorden nodig: de ontwikkeling van governanceprincipes met betrekking tot strategie, acquisities, prestaties, naleving van wet- en regelgeving, menselijk gedrag en verantwoordelijkheden; diepgaande kennis van zijn ecosysteem; beheersing van enterprise-architectuur gecombineerd met diepgaande reflecties daarover.
Gedachten over architectuur
Is het systeem in staat strategische doelstellingen te bereiken en zich snel aan te passen aan veranderingen in het ecosysteem? Is zij in staat de risico's die zich zullen voordoen het hoofd te bieden en beschikt zij over defensieve middelen? Heeft het een structuur die het de kenmerken van veerkracht, flexibiliteit en behendigheid geeft, waardoor het weerstand kan bieden? Vooruitgang in de wet van Moore en software-engineering maken nieuwe architecturen mogelijk. De SolarWinds-affaire demonstreert dit echter wel de huidige naïviteit van bepaald management van bedrijven en administraties die open (open source) of propriëtaire systemen integreren zonder de risico's te beheersen. Deze casus laat, net als de tekorten als gevolg van de COVID-crisis, zien hoe outsourcing van strategisch belang is, terwijl de cybersfeer bedrijven veel mogelijkheden biedt om een beroep te doen op externe diensten om hun waardeketen te verbeteren.
Gedachten over management
Maar wij heersen niet over chaos! Hoe organiseer je het crewmanagement zodat het bedrijf zich aanpast aan zijn nieuwe ecosysteem en overleeft? Het beheersen van bedrijfsprocessen is essentieel. Is het niet de rol van de IT-afdeling om, in samenwerking met de bedrijven van het bedrijf, informatie- en telecommunicatietechnologieën te injecteren? Het is daarom nutteloos om afzonderlijk te spreken over het bestuur van informatiesystemen en het bestuur van ondernemingen., waarbij de twee nauw met elkaar verbonden zijn. Om Nicolas Carr te citeren: het gaat om zakendoen: “ IT maakt niet uit »! Kunnen we bovendien, als het om IT gaat, nog steeds alleen over informatiesystemen praten als IT, met AI, robots en verbonden objecten, de leiding neemt over talloze bedrijfsprocessen en een effector wordt op de echte wereld, zoals de Oldsmar-affaire illustreert?
Veranderingen in gedrag
CIO's die tot nu toe te vaak 'technocentrisch' zijn geweest, moeten hun acties richten op het creëren van waarde voor het bedrijf en deelnemen aan de ontwikkeling van de strategie. Omgekeerd zijn technologie en informatiesystemen zo belangrijk geworden voor het bereiken van bedrijfsdoelstellingen dat ze niet langer uitsluitend kunnen worden beschouwd als middelen om reeds geïdentificeerde doelstellingen te bereiken. Dus het management van het bedrijf, de IT-afdeling en het management van de businessunit moeten nauw samenwerken. Dit is de reden waarom de oprichting van Beheerders van zakelijke relaties is een essentieel organisatorisch apparaat om de samenwerking tussen alle belanghebbenden in het bedrijf te vergroten, collectieve intelligentie te ontwikkelen en zo het bestuur te verbeteren.
Governance: het ontwikkelen van uw capaciteiten door middel van training
Opleiding is een essentiële sleutel om deze drie sloten (architectuur, management en gedrag) te ontsluiten. I-Training en Diensten ontwikkelde en beheert vier seminars die exclusief zijn gepubliceerd door ORSYS : een over het concept van bestuur en de organisatie ervan, de tweede op bedrijfsarchitectuur, de derde op het bedrijf aanpassen aan digitale uitdagingen, de vierde op de Beheer van zakelijke relaties. Deze seminaries worden vervolgens opgesplitst in twee praktische cursussen: de ontwikkeling van een dashboard en beheersing van de bedrijfsarchitectuur. Zij maken gebruik van de standaarden en best practices op deze gebieden en delen de ervaring van haar sprekers met de deelnemers. Onze andere cybersecurity-trainingen completeren dit vaccinatieschema tegen deze virtuele, maar zeer reële bedreigingen.
