Les 10 recommandations indispensables pour gérer la crise qui durera probablement jusqu’en juin.
1. Plus que jamais, le CIO doit être aligné sur les priorités de la haute-direction
Le VP Technologies doit absolument être inclus dans la cellule de crise de l’entreprise au même titre que la VP RH, la VP Finances et les VP d’Affaires. La VP TI va devoir adapter en toute priorité ses infrastructures pour le télétravail et anticiper un fort taux d’absentéisme simultané dans ses équipes, au même titre que les autres Vice Présidences. Plus que jamais, la cellule de crise va devoir être agile, flexible et s’adapter d’heure en heure aux nouvelles. Les priorités sont bousculées, des projets doivent être mis sur la glace tandis que d’autres qui n’étaient pas prévus vont s’imposer d’eux mêmes. Le rythme va devoir être à la fois rapide et dynamique mais également résilient et endurant, puisque la crise va s’échelonner vraisemblablement sur un minimum de 3 mois. Le VP TI devra tenir compte des besoin de doublonnage des fonctions-clés telles que la fonction opérations / infrastructures et anticiper l’absence prolongée de personnels clés. Il devra étudier avec la DRH les solutions externes à son équipe.
2. Les équipes de la VP TI devront montrer l’exemple dans leur nouveau mode de fonctionnement
Certaines services et donc certains serveurs devront être arrêtés, la montée en charge de la bande passante devra être calculée pour fournir de la capacité à toutes les activités critiques. Des décisions vont être prises, peut être même parfois contradictoires et les équipes devront s’adapter et fonctionner avec les moyens disponibles. Les équipes TI devront s’adapter à ce nouveau contexte, car les technologies ne peuvent pas suivre avec du retard les décisions de la haute-direction. Tout au contraire, elles doivent anticiper et ouvrir la voie pour accompagner toute les utilisateurs et les clients en temps réel.
3. Montée en puissance du responsable infrastructure, du help-desk et du SOC
Le goulot d’étranglement va très vite se faire sentir au niveau des opérations et du help-desk. Il va falloir déployer un grand nombre de postes en télétravail, tout en assurant la cybersécurité beaucoup plus rapidement qu’en tant normal, garantir l’harmonisation des configurations des laptops, la mise à jour des OS et des antivirus, l’installation de VPNs et d’une solution de téléconférence. À ce titre, la VP TI imposera sa solution, si elle n’existe pas déjà., pour éviter la cohabitation de plusieurs applications qui ne seraient pas compatibles. la VP TI doit imposer des solutions homogènes et sécurisées.
Les équipes de support devront être renforcées. Certaines activités opérationnelles critiques dans les VP d’affaires vont devoir être déployées différemment et les processus d’affaires adaptés ; des besoins de contrôles complémentaires vont être nécessaires et des moyens de contrôle d’accès avec de l’authentification multi-facteurs envisagées. C’est lors de ce type de crise que les attaques externes et la fraude interne sont le plus fréquente car les fenêtres d’opportunités sont présentes. Oui, il faut privilégier la disponibilité. Mais dans certains cas, dans certaines activités particulière, il est important de ne pas diminuer le contrôle interne et ne pas augmenter le risque en raison du télétravail .On fera particulièrement attention à la gestion des personnels ayant des privilèges élevés dans le système, afin de pouvoir assurer une continuité sans menacer la sécurité. La disponibilité est critique et les cyber-attaquants ont bien compris que des attaques en déni-de-service étaient une option intéressante pour achever les entreprises. On renforcera donc son Security Operation Center en activant la prévention et la détection d’intrusion comme on le peut. Mais travailler dans la hâte ne veut pas dire faire n’importe quoi. Il faut donc continuer à tester les solutions et ne jamais les déployer directement sinon on risque de créer l’effet inverse à celui désiré, un peu comme si l’on se précipitait sur un vaccin sans en avoir vérifier l’inocuité au préalable. Enfin, pour anticiper les absences, on créera des rotations d’équipes avec des compétences redonnées dans chaque équipe.
4. Former, Sensibiliser, Anticiper les absences, faire des rotations d'équipes
Entre 25 et 50% des effectifs pourraient potentiellement être malades en même temps.Ces scénarios doivent être anticipés. Les personnels formés et sensibilisés aux risques TI. Les informations clés, documentations, mots de passe d’administration doivent être gérés en cas d’absence. Les absences du CIO, du VP Opérations ou Help-Desk doivent être anticipées et gérées. Des remplaçants désignés. Constituez des astreintes, composez vos équipes avec un mix d’âges et de communautés (personnels ne vivant pas tous dans le même quartier),
5. Déprioriser les projets et réaffecter les ressources
On arrête jusqu’à nouvel ordre le développement des nouveaux projets, on se concentre sur les opérations : gestion des incidents, support, surveillance des serveurs, sauvegardes, cybersécurité, gestion des fournisseurs. Se concentrer uniquement sur les maintenances correctives et non plus évolutives mais patcher, patcher, patcher. Les équipes de développement pourraient être réaffectées au support applicatif.
6. Le choix des solutions doit être rapide, homogène et user-friendly
On ne choisira pas forcément la solution la plus sophistiquée mais celle qui sera la plus intuitive et facile à utiliser par tout le monde.
7. La gestion des changements en mode agile
Des changements vont survenir sans arrêt. Ce qui était en place la semaine précédente pourra ne plus l’être la semaine suivante. Si l’on va lâcher la priorité de tout formaliser, il faudra néanmoins garder une trace des changements effectués sinon on ne saura pas restaurer la configuration initiale ensuite. Ceci est particulièrement vrai pour les droits d’accès. Si l’on considère que des dérogations pourront être obtenues, il ne faut pas oublier que toute décision de changement doit rester soumise à une approbation par une seconde personne, différente de celle qui effectue le changement. Au cas oû ces personnes tombent malades, il faut constituer une main courante pour avoir souvenir de ce qui aura été modifié. Le mieux est de continuer à utiliser votre système de ticketing (Service Now ou équivalent,..) Oui, il faut aller vite mais ne pas faire n’importe quoi dans la précipitation, c’est la meilleure recette pour échouer quelques mois plus tard.
8. Le circuit de communication
En interne de la VP TI, on fait des réunions en période de crise tous les jours, puis on espacera un peu en face de stabilisation. Un suivi de prés des incidents doit être effectué.
Vis à vis de la haute-direction, une synthèse des actions prises et problèmes rencontrés doit également être émise trés régulièrement à la haute-direction.
Source : Ce document a été écrit en partenariat avec maitrisedescrises.com et infortive
Comments