Que faire lorsque le coût actuel de vos besoins en TI/TO dépasse le budget prévu?
Dans notre monde numérique, la convergence des technologies de l’information (TI) et des technologies opérationnelles (TO) présente sa part d’avantages et d’inconvénients. L’intégration et la mauvaise gouvernance de l’une ou de l’autre peuvent être source de risque.
Les cybercriminels ciblent les systèmes de TI et de TO à un rythme accéléré pour accroître les temps d’arrêt et perturber les processus industriels et les consommateurs. Le gouvernement canadien et les organismes de réglementation s’efforcent de protéger les infrastructures essentielles, en particulier les systèmes de TO comme les réseaux électriques et les systèmes de gestion de l’eau.
Certains acteurs parrainés par des États représentent également une grave menace puisqu’ils ciblent les infrastructures en vue d’obtenir de l’information au moyen de l’espionnage. Ils utilisent cette information afin de se préparer et de se positionner stratégiquement en vue de futurs conflits. Le risque de cyberattaques contre les systèmes de TI et de TO est une préoccupation majeure. À mesure que leur intégration progresse, les vulnérabilités des systèmes de TI peuvent affecter les environnements de TO, notamment les systèmes de contrôle industriels, souvent moins résilients.
Le contexte actuel est caractérisé par une pénurie de personnel qualifié dans le domaine de la cybersécurité des TI et des TO. Ce déficit de compétences pourrait se traduire par des problèmes de gouvernance et une vulnérabilité accrue aux attaques. Une stratégie efficace de gestion du changement technologique est essentielle. Autrement, les organisations s’exposent à des perturbations de leurs activités, à des failles de sécurité et à des problèmes de non-conformité.
Combler l’écart
Les mesures de sécurité physiques ne sont pas à négliger. Toute lacune à cet égard peut faciliter un accès non autorisé aux systèmes et leur manipulation. Les organisations doivent prendre des mesures préventives pour gérer ces risques. Elles peuvent notamment investir dans des formations pour leurs équipes, des mesures de sécurité rigoureuses et des processus détaillés de gestion du changement en matière de TI. De fréquentes évaluations et vérifications des risques peuvent contribuer à détecter et à réduire les vulnérabilités.
Un défi majeur réside dans la difficulté qu’ont souvent les petites entreprises à tenir leur technologie à jour en raison de contraintes budgétaires, alors que les grandes sociétés peuvent se permettre d’acquérir les dernières innovations. Il en résulte un écart, qui rend les petites entreprises plus vulnérables aux cybermenaces.
Tout compte fait, la haute direction doit privilégier les investissements dans des TI et des TO qui répondent aux objectifs stratégiques et aux besoins de l’entreprise. Elle doit se montrer agile et réactive pour fournir à l’entreprise une protection contre des menaces en constante évolution. La priorité qu’elle accordera aux objectifs stratégiques et aux mesures destinées à minimiser l’exposition aux risques lui donnera les moyens de préserver la sécurité et l’efficacité de ses systèmes.
Et ce n’est pas tout! Voici d’autres risques à ne pas négliger...
- Non-conformité à des lois et à des réglementations pertinentes
- Gouvernance et confidentialité des données
- Vulnérabilités dans la chaîne d’approvisionnement
- Affaiblissement ou disparition des mesures de contrôle du fait de la sous-traitance
Quelques questions à se poser :
- Pouvez-vous adapter et redéfinir vos priorités de TI et de TO aussi rapidement que votre stratégie, sans dépasser votre budget?
- Les cadres en TI et en TO peuvent-ils anticiper ce qui doit changer et à quel moment sans perdre de vue la stratégie à long terme de l’entreprise?
- Dans votre organisation, la gestion du changement touchant les TI et les TO tient-elle compte d’éventuels cyberrisques?
Les signaux d’alarme :
- Problèmes opérationnels liés à des défaillances du système ou à des violations de données
- Coûts excessifs des perturbations des activités en raison du matériel informatique désuet ou mal entretenu
- Non-respect des objectifs stratégiques en raison des systèmes de TI ou de TO existants