Savez-vous où se trouvent vos applications ?

La question ne se pose même plus : chaque entreprise est désormais aussi une entreprise de logiciels, pleinement responsable de son parc applicatif. Cela ne surprendra personne tant les applications se sont imposées au fil des années comme le moyen essentiel par lequel les entreprises développent et fournissent des biens et des services.

A découvrir sur Alliancy : Le carnet « Culture de l’Innovation et Cloud »

 

Kara Sprague, Executive Vice President and General Manager, Application Service

Kara Sprague, Executive Vice President and General Manager, Application Service, F5 Networks

Les applications sont ainsi devenues l’actif le plus important de l’entreprise moderne, et cela est encore plus vrai pour les natifs du numérique : les Lyfts, LinkedIns, et autres WhatsApps du monde.

Bref, bienvenue dans l’ère du capital applicatif !

Aujourd’hui, le portefeuille d’applications d’une entreprise peut se chiffrer en milliards d’euros, et les applications se trouvent partout où l’on travaille : dans les équipements des salles de conférence, sous le plancher des usines, au cœur des thermostats de nos bureaux, et même dans les aquariums qui décorent ces derniers (lire plus loin à ce sujet…).

Les applications sont donc véritablement partout, et pourtant la plupart des entreprises n’ont qu’une idée approximative de combien elles en ont réellement, de l’endroit où celles-ci fonctionnent, et, bien sûr, si elles sont vulnérables. Et l’on arrive donc à un paradoxe étonnant : les organisations du monde entier n’ont cessé d’innover, d’itérer et de bâtir leur capital applicatif durant des décennies, mais sans prendre la peine d’élaborer une stratégie organisationnelle cohérente pour la gestion de tout cela.

À leur décharge, elles ne sont pas aidées par la complexité des environnements applicatifs et des infrastructures. Dans le dernier State of Application Services report, 90 % des entreprises ont indiqué qu’elles utilisaient plusieurs fournisseurs de services Cloud (2,5 par organisation en moyenne).

Culture de l'iinnovation cloud - Cloud et métier Plus de la moitié d’entre elles ont d’ailleurs déclaré qu’elles choisissaient leur hébergement application par application. À ce rythme, les grandes entreprises pourraient bien avoir des centaines, voire des milliers, de combinaisons d’applications, de fournisseurs Cloud et de serveurs, avec pour chacun un niveau de support et des garanties très différents.

Pourquoi de telles différences ?

Pour la plupart des entreprises, le capital applicatif est, au mieux, mal contrôlé et, au pire, menacé. Mais pire encore : beaucoup d’organisations ne le savent tout simplement pas, car sans visibilité sur leur capital applicatif, il leur est difficile de conduire des analyses de risque. Or, avec un autant d’applications dispersées, les menaces peuvent venir de presque n’importe où et les effets d’une brèche (l’impact) peuvent être dévastateurs pour l’organisation.

Il y a quelques années, le PDG de la chaîne de grands magasins américains Target a démissionné après que des pirates aient volé des millions de dossiers clients – les attaquants avaient eu accès aux caisses enregistreuses de Target en passant par le système de climatisation connectée. Et pas plus tard que l’an dernier, un casino basé à Londres a perdu la base de données de ses meilleurs joueurs après que des pirates informatiques se soient introduits dans son réseau par l’intermédiaire… du thermomètre numérique de l’aquarium qui décorait le hall d’entrée.

A lire aussi : [Dossier] IA en entreprise : où sont les applications efficaces ?

Ces deux points d’entrée apparemment inoffensifs montrent le danger que représentent des portefeuilles d’applications mal gérés. Et pourtant, peu de grandes organisations peuvent aujourd’hui encore fournir avec un haut degré de certitude le nombre d’applications qu’elles exploitent.

Par contraste, la façon dont les organisations gèrent le capital physique et humain a fait l’objet d’une attention toute particulière de la part de ces mêmes entreprises, et de pratiques affinées au fil des décennies. Par exemple pour fabriquer un avion, des sociétés comme Airbus s’appuient sur un réseau de milliers de fournisseurs et un chronométrage précis à travers toute une chaîne d’approvisionnement mondiale. Airbus est également en mesure de suivre et de surveiller les performances, l’utilisation, l’emplacement et la santé de chacun de ses réacteurs à tout moment.

De même, UPS a un niveau de sophistication similaire lorsqu’il s’agit de gérer les gens. L’entreprise supervise un vaste réseau mondial de livraison qui emploie des centaines de milliers de travailleurs, avec une vision tellement détaillée de leurs activités qu’elle a même pu prescrire comment les conducteurs doivent entrer et sortir de leur véhicule pour maximiser l’efficacité et minimiser les blessures.

Si elles veulent minimiser les menaces afin de maximiser la valeur de leur écosystème applicatif, les entreprises doivent désormais investir la même énergie et les mêmes ressources dans leur capital applicatif qu’elles ne le font pour les actifs physiques et les talents. Et la méthode pour y parvenir n’a rien d’un secret : il leur suffit d’appliquer la même rigueur et la même discipline à la nature éphémère des objets numériques.

Élaboration d’une stratégie d’application

Pour gérer efficacement leur capital applicatif, les organisations doivent commencer par établir une stratégie applicative à l’échelle de l’entreprise qui définit des objectifs clairs et établit une base solide pour la conformité. Cette stratégie doit aborder la manière dont les applications sont construites, acquises, déployées, gérées, sécurisées et dé-commissionnées. Et ce cadre global doit pouvoir être appliqué à toutes les applications, quelle que soit leur origine.

Il existe de nombreuses façons d’y parvenir, mais voici les six étapes les plus évidentes. Pour être en capacité de gérer l’ensemble de son capital applicatif, l’entreprise devra :

1) Créer un inventaire des applications. Celui-ci doit inclure la fonction et l’origine de chacune d’entre elles, ainsi que les données qu’elle consomme, les services avec lesquels elle communique, les composants open-source ou tiers qu’elle contient (vital, notamment lorsqu’ils sont inclus dynamiquement depuis une source non maîtrisée), qui y accède, qui la développe et qui la maintient.

2)  Évaluer le risque cyber pour chaque application en fonction du coût relatif ou de l’impact d’une compromission de l’application elle-même ou des identités associées.

3)   Définir des catégories de cyber-risque pour les applications, et assigner des exigences minimales de sécurité pour chacune d’entre elles.

4)  Identifier les services applicatifs nécessaires pour prendre en charge chacune des catégories d’applications, tels que les pares-feux d’applications Web, les anti-DDoS, les anti-bot, les services de répartition de charge ou de réplication, etc.

5)  Définir les paramètres de déploiement et de gestion pour chaque catégorie applicative, y compris les architectures de déploiement, les options de cloud public acceptables et les services tiers à y associer.

6)  Clarifier les rôles et les responsabilités concernant le déploiement, la sécurité, l’accès des utilisateurs, la surveillance par des tiers et la comptabilisation des applications à mesure qu’elles sont ajoutées et supprimées.

A lire aussi : Raphael Viard (SNCF) « Notre objectif n’est pas d’aller vers le 100% cloud public, mais de privilégier un modèle hybride. »

 L’objectif premier d’une telle stratégie applicative devrait être d’améliorer et de sécuriser l’entreprise dans toutes ses dimensions numériques, même si celle-ci continue de croître et d’étendre ses capacités. La combinaison de ces éléments permet en effet de s’assurer que tout le monde fait ce qu’il faut, en tenant compte des exigences prévues pour toutes les applications, sans zone d’ombre (perte de visibilité) et tout en laissant la place à l’innovation continue, qui s’appuie notamment sur le développement ou l’intégration rapide de nouvelles applications.

Et cela est d’autant plus vital qu’il existe une différence majeure entre les actifs physiques et les actifs numériques : l’omniprésence des menaces. Parce que les applications s’étendent au-delà de l’entreprise et jusqu’aux clients et partenaires qui les utilisent, une gestion efficace du capital applicatif est donc aussi un impératif commercial.

Alors, certes, la question de la bonne maîtrise d’un tel portefeuille applicatif devient de plus en plus complexe et difficile. Mais plus elles attendent, plus les entreprises auront des difficultés à reprendre le contrôle. De sorte qu’il n’y a pas de meilleur moment qu’aujourd’hui pour commencer !