PricewaterhouseCoopers suggère des mesures pour l’intégration de solutions d’informatique en nuage, pour éviter l’essor de « l’infonuagique dans l’ombre ».
Dans un rapport publié dans le portail en ligne Corporate Compliance qui traite des enjeux liés à la conformité, le cabinet de services professionnels PricewaterhouseCoopers suggère aux responsables des affaires et des technologies des mesures à prendre afin d’intégrer des principes de gouvernance liés à l’informatique en nuage dans le programme de conformité d’une organisation.
Notamment, l’exercice vise à prévenir l’émergence de l’utilisation de solutions d’infonuagique en catimini et sans permission, soit « l’infonuagique dans l’ombre. »
En soulignant que le concept des « TI dans l’ombre » (shadow IT en anglais) n’est pas nouveau et fait l’objet d’une croissance importante, PricewaterhouseCoopers indique que l’implantation d’une culture de personnalisation des technologies de l’information (IT consumerization) au sein des organisations, le vieillissement des technologies et l’existence de modèles technologiques dépassés ont contribué à l’essor de l’informatique en nuage parmi les employés et les unités d’affaires.
Bien qu’elle comporte des risques qui sont communs à ceux des TI dans l’ombre (coût de possession supérieur aux budgets, diminution de la valeur en raison de changements apportés aux processus sans mise à jour d’une solution, échec de processus en raison de l’effritement des connaissances sur une solution, etc.), l’infonuagique dans l’ombre entraine l’apparition de risques nouveaux et inconnus. Selon PricewaterhouseCoopers ces risques émanent du traitement transactionnel et de l’acheminement d’informations d’entreprise au moyen d’un réseau de systèmes internes et externes lors de l’utilisation de solutions d’infonuagique.
Dix étapes
Dans l’optique des nouveaux rôles de conseillers et de coordonnateurs en informatique qu’ils ont à jouer au sein de leurs organisations, PricewaterhouseCoopers suggère aux responsables des affaires et des TI de réaliser dix étapes pour découvrir, analyser et surveiller les solutions d’infonuagique entrantes, mais aussi pour « appliquer une approche pratique et reproductible qui peut transformer l’infonuagique dans l’ombre en infonuagique stratégique. »
1. Aligner la stratégie d’entreprise et les objectifs de performance organisationnels avec une stratégie d’adoption de l’infonuagique.
2. Travailler avec les départements d’entreprise pour comprendre les exigences fonctionnelles, les architectures et les processus d’affaires qui sont pertinents.
3. Souscrire à des normes et réglementations en interne ou hors de l’entreprise.
4. Établir des ententes de services et des contrats auxquels les fournisseurs de solutions d’infonuagique doivent adhérer.
5. Gérer le cycle de vie de l’information en gérant et catégorisant les données qui seront utilisées dans des solutions d’infonuagique.
6. Protéger l’information en établissant une liste de contrôle des accès aux applications, en appliquant des règles de chiffrement lors du transfert des données de l’entreprise vers un fournisseur en infonuagique, en mettant à jour les procédures d’approbation, etc.
7. Établir un plan de contingence en cas de panne ou de fin des activités d’un fournisseur de solution d’infonuagique dans l’ombre.
8. Établir des fonctions de surveillance des fournisseurs de services d’infonuagique et des processus d’escalade en cas d’incident.
9. Établir une vision d’architecture des TI pour la consommation des services d’infonuagique, afin de permettre la gestion efficiente des accès et l’interopérabilité de service au sein de l’organisation.
10. Établir des procédures intégrées d’administration des solutions d’infonuagique au moyen de solutions d’automatisation des fonctions de surveillance et de gestion.
Lire le rapport au complet dans le site de Corporate Compliance (en anglais)
