Personne regardant un ordinateur portable tout en tenant son téléphone portable.

Tendances de risque en 2024 et par la suite : Gouvernance des TO et des TI

Tendances de risque en 2024 et par la suite : Gouvernance des TO et des TI

Résumé
4 minutes de lecture

Le manque d’argent ou de ressources peut complexifier les choses quand il s’agit d’investir dans des initiatives de transformation ou d’actualisation des technologies de l’information et des technologies opérationnelles. Cependant, la décision de conserver des systèmes au-delà de leur cycle de vie utile peut entraîner des risques et des pertes d’efficacité.

Quels investissements dans les technologies prioriser pour créer un maximum de valeur? Et comment trancher avant que ces décisions ne se prennent en silo et en désordre au niveau des services eux-mêmes? Voilà la difficulté.

La direction doit en être consciente et rassurer les subalternes qu’elle fera les mises à jour nécessaires au bon moment. Elle doit aussi mettre en place les bons processus pour garantir que les mises à jour adoptées seront celles qui conviennent le mieux à l’organisation.

En savoir plus
Drew Buhr, CISSP, CISA, ISO 27001 LA
Hash Qureshi
Points de vue
Confiance Livres blancs Fabrication Exploitation pétrogazière Secteur public Immobilier et construction Gestion des risques d'entreprise Audits et contrôles internes Cybersécurité Risque lié à la technologie Énergie et services publics
Connaissez-vous les éléments les plus vulnérables de votre entreprise à surveiller dans l’année à venir? Notre rapport sur les tendances de risque en 2024 fait l’analyse de 15 d’entre eux sur lesquels porter votre attention. Découvrez tous les risques abordés dans le rapport de cette année. 

Vos ressources et vos budgets sont limités. Les utilisez-vous à leur pleine valeur?

Les organisations n’ont pas des sommes infinies à investir dans les technologies de l’information (TI), les technologies opérationnelles (TO), l’infrastructure physique et la sécurité. Il peut donc être tentant pour la direction de passer outre certaines améliorations ou transformations pourtant nécessaires. Mais tout comme l’innovation a son coût, la décision de conserver des systèmes au-delà de leur cycle de vie utile a ses risques.

La question n’est pas tant de savoir s’il faut prendre le virage numérique ou pas. C’est plutôt de décider quelles initiatives prioriser aujourd’hui et comment maximiser le rendement sur le capital investi dans les technologies. Les systèmes et les processus qui fonctionnent mal plombent le moral et la productivité des troupes. Limiter les innovations et les transformations, c’est pousser les différents services à prendre des décisions technologiques unilatérales, sans égard à leurs conséquences au-delà de leur environnement immédiat.

Pour déterminer quels investissements dans les technologies prioriser et ceux qui créent le plus de valeur, il faut une gouvernance compétente, alimentée par des apports venant de toute l’organisation : TI, finances, exploitation, audits internes, gestion du risque, autres parties prenantes, etc. Les échanges doivent aborder les défis d’affaires actuels, l’efficacité des systèmes en place et toutes les menaces – bien présentes ou émergentes – à la sécurité et à la confidentialité. La direction doit connaître les tendances sur le plan des innovations et savoir quels domaines sont les plus exposés aux perturbations, voire aux interruptions de service.

Toute infrastructure arrive un jour à la fin de sa vie utile. Un jour ou l’autre, chaque option de rechange sera au moins partiellement infonuagique et intégrera l’intelligence artificielle. La direction doit en être consciente et rassurer les subalternes qu’elle fera les mises à jour nécessaires au bon moment. Elle doit aussi mettre en place les bons processus pour garantir que des conseillers analyseront sérieusement les avantages et les risques de chaque option et que les mises à jour adoptées seront celles qui conviennent le mieux à l’organisation.

Risques connexes

  • Décisions de TI et de TO moins qu’optimales réduisant l’efficacité des mesures de contrôle
  • Manque de supervision des tiers et des mesures de contrôle à leur endroit
  • Manque de politiques, de progrès, de contrats et de formations sur les usages appropriés ou attendus des TI et des TO
  • Communication déficiente entre la direction et le conseil

""Questions importantes à vous poser

  • Votre organisation a-t-elle trop peu investi dans les technologies et, si oui, a-t-elle procédé à une analyse des causes profondes de cette situation?
  • Votre organisation se fie-t-elle à des tiers pour garder la main sur ses TI et ses TO? Quel est le mécanisme de vérification des fournisseurs tiers et quels sont les risques à gérer?
  • Avez-vous eu assez de formations et d’exercices de table avec la direction pour vous entendre sur la façon de réagir et de répondre à une attaque par rançongiciel?
  • Le budget de TI et de TO suffit-il à couvrir les besoins les plus critiques de l’organisation?
  • Prévoyez-vous que des modifications en profondeur de vos données ou de votre architecture de système puissent perturber les mécanismes de contrôle, processus ou politiques liés aux TI ou aux TO?
  • A-t-on établi une stratégie d’orientation des investissements dans les technologies pour garantir que celles-ci sont remplacées quand il le faut et qu’elles améliorent au mieux le fonctionnement de l’organisation?

""Signaux d’alerte

  • Historique de décisions moins qu’optimales liées aux TI et au TO (dépenses excessives, etc.)
  • Tiers en TI ou en TO vus comme étant la cause profonde de problèmes
  • Personnel incapable de distinguer les bonnes pratiques technologiques des mauvaises
  • Problèmes de fonctionnement souvent causés par les failles des systèmes

Audits internes à considérer

Audit d’alignement des stratégies de TI et de TO 
Il évalue jusqu’à quel point les stratégies de TI et de TO sont alignées sur les objectifs d’affaires généraux de l’organisation.
Audit de gestion des actifs de TI et de TO
Il se penche sur les processus organisationnels de gestion et d’entretien des actifs de TI et de TO comme le matériel, les logiciels et les systèmes de contrôle industriels.
Audit de gestion du changement dans les TI et les TO 
Il évalue les mécanismes par lesquels le changement dans les TI et les TO est géré, consigné et autorisé pour atténuer les risques et les perturbations.
Audit de sécurité des TI et des TO 
Il évalue les mesures de sécurité mises en place pour les systèmes de TI et ceux de TO pour garantir leur protection contre les cybermenaces et les intrusions.
Audit de gestion des risques pour les TI et les TO 
Il examine les pratiques organisationnelles de gestion des risques envers les TI et les TO : reconnaissance, évaluation, stratégies d’atténuation, etc.
Audit de réponse en cas d’incident lié aux TI et aux TO pour la continuité des affaires 
Il analyse le degré de préparation de l’organisation à répondre à des incidents liés aux TI ou aux TO, ainsi que sa capacité à maintenir ses fonctions critiques en service durant les perturbations.
Audit de conformité des TI et des TO 
Il détermine si les pratiques organisationnelles de TI et de TO respectent les lois, règlements et normes qui les concernent.
Audit de gestion des fournisseurs de TI et de TO 
Il se penche sur les pratiques de gestion des fournisseurs de TI et de TO : contrats, évaluations de sécurité, suivi de l’exécution des mandats, etc.
Audit des indicateurs de rendement des TI et des TO et de leurs mécanismes de surveillance 
Il examine les indicateurs de rendement des TI et des TO et les mécanismes de surveillance de ces derniers pour garantir qu’ils mesurent correctement les résultats et l’efficacité des activités liées aux TI et aux TO.
Audit des formations en TI et en TO 
Il évalue la qualité et les retombées des formations dispensées au personnel sur la gouvernance, la sécurité et les meilleures pratiques par rapport aux TI et aux TO.
Audit d’intégration des TI et des TO 
Il examine la qualité des passerelles entre les TI et les TO pour garantir la facilité des communications et des coopérations entre ces deux domaines.
Audit des budgets et de la répartition des ressources pour les TI et les TO 
Il examine les budgets et la répartition des ressources pour les initiatives de TI et de TO pour garantir qu’ils sont alignés sur les priorités d’affaires.
Audit de la documentation et de la gestion documentaire des TI et des TO 
Il examine les pratiques de documentation des systèmes de TI et de TO : politiques, procédures, documentation des systèmes, etc.
Audit de l’efficacité du comité de gouvernance des TI et des TO 
Il évalue l’efficacité et l’efficience du comité de gouvernance responsable de superviser les activités de TI et de TO.
Audit des services de TI et de TO infonuagiques ou fournis par des tiers 
Il s’agit d’évaluer le recours à des services infonuagiques ou fournis par des tiers pour des fonctions de TI et de TO du point de vue de la sécurité, de la conformité, etc.

Les risques : tendances pour 2024 et par la suite

Découvrez tous les risques abordés dans le rapport de cette année. 
Tendances de risque en 2024 et par la suite

Points de vue

  • Confiance

    18 avril 2024

    Loi 25 au Québec : Votre entreprise est-elle conforme?

    Découvrez comment votre organisation doit se conformer à la Loi 25 qui renforce et encadre la façon dont sont gérés les renseignements personnels au Québec.

    En savoir plus

  • Performance

    16 avril 2024

    Faits saillants du budget fédéral de 2024

    Consultez l’analyse fiscale du budget fédéral de 2024 que vous a préparée MNP.

    En savoir plus

  • Performance

    10 avril 2024

    À quoi devraient s’attendre les importateurs à la suite de la mise en œuvre de la version 2 du portail client de la GCRA et de la période d’interruption annoncée dans l’avis de douanes 24-14?

    Quels seront les effets des changements mis en place par l’Agence des services frontaliers du Canada (ASFC) sur les entreprises qui importent des marchandises au Canada?

    En savoir plus