Management

Six risques cachés de l'automatisation IT

L’automatisation des processus via l’IT est le second poste d’investissement prioritaire pour les DSI, derrière la cybersécurité. Mais attention aux déploiements non maîtrisés. (Photo : Gerd Altmann/Pixabay)

L'automatisation, via notamment la RPA, est de plus en plus considérée comme une stratégie clé permettant de dégager un avantage concurrentiel. Mais des pièges attendent ceux qui ne s'entourent pas de suffisamment de précautions.

PublicitéL'automatisation des processus métier reste une priorité pour les entreprises et les services informatiques, qui cherchent à améliorer les services, à réduire les coûts et à accroître l'efficacité. Selon l'enquête 2024 State of the CIO, les responsables informatiques citent l'automatisation des processus métiers et informatiques en seconde position des initiatives générant le plus d'investissements technologiques au sein de leur organisation cette année, derrière la cybersécurité. Selon les 875 responsables IT interrogés, l'automatisation des processus métiers et informatiques est même le meilleur moyen pour la DSI de mieux s'aligner sur les besoins des métiers.

Pour ce faire, les entreprises appliquent des outils d'automatisation tels que la RPA (Robotic process automation) à des domaines tels que les processus administratifs, le reporting, le support et l'expérience client, la migration des données, l'analyse des données, etc. Le marché mondial de la RPA devrait passer de 13,8 Md$ en 2023 à 50,5 Md$ d'ici 2030, selon le cabinet d'études Fortune Business Insights. Soit une croissance annuelle moyenne de 20 % sur la période.

Le rapport du cabinet sur ce marché, datant d'octobre 2023, indique que l'adoption de la RPA augmente dans les organisations de toutes tailles, et que les principaux acteurs du marché lancent de nouvelles plateformes basées sur l'intelligence artificielle (IA), l'apprentissage automatique et le cloud pour accompagner cette demande croissante. De plus en plus d'organisations adoptent la RPA pour automatiser les processus métier et traiter des données de plus en plus complexes, indique le rapport.

L'automatisation peut toutefois s'accompagner de certains risques. Voici un aperçu des inconvénients les plus courants.

1) Le paradoxe de l'accès aux données

Fournir aux employés un accès sécurisé aux informations nécessaires à leur travail est une priorité dans les entreprises. Mais l'automatisation peut parfois entraver cet effort. « Alors que l'automatisation vise à rationaliser les processus et à améliorer l'efficacité, elle peut involontairement créer des obstacles à l'accès à des données fiables et de haute qualité, essentielles pour prendre des décisions métiers éclairées », souligne John Williams, directeur data et analytics chez RaceTrac, entreprise américaine opérant des stations-service et des commerces de proximité dans le Sud des États-Unis. « Ce paradoxe souligne la complexité de l'automatisation dans les environnements IT, où les avantages de la rationalisation des processus doivent être mis en balance avec les risques de fragmentation de l'accès à l'information », résume-t-il.

Selon lui, l'un des risques majeurs de l'automatisation IT est la possibilité de renforcer ou de créer de nouveaux silos de données au sein d'une organisation. « Ces silos apparaissent lorsque les données sont compartimentées au sein de différents départements ou systèmes, ce qui rend difficile, voire impossible, l'accès ou l'utilisation efficace de ces données par d'autres parties de l'organisation », explique-t-il. Ces silos peuvent entraîner des problèmes opérationnels, notamment des incohérences dans le traitement des données, des inefficacités dans les processus opérationnels et produire, en fin de compte, un impact négatif sur la productivité et les coûts.

PublicitéRaceTrac a mis en oeuvre une plateforme de données (fournie par Alation) pour centraliser les métadonnées dispersées dans l'entreprise et pour rendre les informations facilement consultables et compréhensibles. « Cela nous a permis de consolider les sources de données en une source de vérité unique et définitive, explique John Williams. Ce faisant, nous avons pu garantir la cohérence des calculs, améliorer la fiabilité des rapports et, surtout, faciliter la prise de décisions dans l'ensemble de l'organisation. »

2) Nouvelles menaces de cybersécurité

Les acteurs malveillants sont à l'affût de toute opportunité d'exploitation de nouvelles vulnérabilités, et les initiatives d'automatisation peuvent leur ouvrir de nouvelles voies. « Les processus automatisés sont intrinsèquement fiables et un acteur malveillant peut abuser de cette confiance, explique Jason Kichen, RSSI chez Tricentis, un fournisseur de solutions de test logiciel en continu et d'ingénierie de la qualité. Un processus automatisé doit généralement être associé à un compte de confiance ou à privilèges, une caractéristique dont un acteur malveillant peut malheureusement tirer parti. »

Lorsque des comptes à privilèges sont détournés, l'activité malveillante devient intrinsèquement fiable pour les défenseurs, souligne le RSSI. « Cela signifie qu'elle n'est probablement pas surveillée de près et que l'automatisation peut permettre à des acteurs malveillants de réaliser des actions malveillantes. »

L'un des plus grands risques cachés de l'automatisation IT est de ne pas sécuriser les données utilisées pour former les systèmes automatisés, souligne de son côté Kevin Miller, directeur technique pour la zone Amériques de l'éditeur IFS. « Pour aller plus loin, les systèmes automatisés peuvent présenter des vulnérabilités que des acteurs malveillants peuvent exploiter - même la détection des anomalies peut être piratée », ajoute-t-il.

Selon lui, les entreprises sont donc vulnérables à la propagation automatisée des menaces. « Par exemple, si un attaquant prend le contrôle d'un processus automatisé, il peut diffuser des codes, des logiciels ou des activités malveillants dans le système beaucoup plus rapidement que dans un environnement non automatisé », explique-t-il.

Ce qui pourrait entraîner des dommages plus rapides et plus importants avant que les efforts de détection et de remédiation ne puissent être entrepris, analyse le CTO d'IFS. Les entreprises doivent donc disposer d'une visibilité totale et mettre en place un monitoring constant des systèmes afin de déterminer si une anomalie est causée par un acteur malveillant, susceptible de voler des données sensibles sur un actif, l'entreprise ou ses clients.

3) Des problèmes de gestion des données amplifiés

La gestion des données est un élément clef de l'automatisation IT, mais les équipes n'y pensent pas forcément lorsqu'elles déploient des outils d'automatisation des processus. Ce qui peut entraîner des problèmes. « Utiliser des données périmées - qu'il s'agisse de secondes, de minutes, d'heures ou de jours - pour automatiser, c'est un peu comme commander un Uber avec des données de trafic ancienne », illustre Erik Gaston, DSI de l'entreprise de sécurité Tanium. « Cela ne fonctionnera pas. Sans données en temps réel, les organisations sont limitées dans les automatisations qu'elles peuvent passer à l'échelle. Qui plus est, lorsque les organisations essaient d'automatiser au-delà de ce qu'elles sont en mesure de faire, cela peut briser des processus critiques. »

Selon Erik Gaston, l'absence de données en temps réel lors de l'extension de l'automatisation peut aggraver les vulnérabilités en matière de cybersécurité. « Lorsque la technologie d'automatisation n'utilise pas de données en temps réel, elle peut ne pas détecter une menace critique ou une faille zero day, ce qui pourrait entraîner une violation de données qui passerait inaperçue suffisamment longtemps pour que les cyber délinquants exploitent les vulnérabilités et obtiennent un accès non autorisé aux systèmes ou aux données », indique-t-il.

Pour aplanir ces difficultés, John Williams de RaceTrac explique que son organisation a mis en place une stratégie de gouvernance des données fédérée qui fournit une méthodologie structurée pour la gestion des données. « La pierre angulaire de cette approche consiste à s'assurer que toutes les données qui sous-tendent l'automatisation sont minutieusement contrôlées, conformes aux réglementations en vigueur et répondent aux normes de qualité les plus strictes », explique-t-il. Selon ce dernier, une stratégie de gouvernance des données fédérée permet d'atteindre un équilibre entre les contrôles de gouvernance centralisés et la flexibilité d'un accès décentralisé.

« Cette méthodologie permet une supervision descendante de la gouvernance tout en donnant aux utilisateurs l'autonomie nécessaire pour se servir eux-mêmes », dit John Williams. Elle permet aux organisations « d'exploiter pleinement le potentiel de l'automatisation IT, en s'assurant que leurs efforts reposent sur une solide gouvernance des données et sont résilients à l'évolution du paysage technologique ».

4) Une forme de complaisance

Un autre risque courant des démarches RPA réside dans l'absence de contrôle sur la durée de la DSI sur les tâches automatisées. « La complaisance est un risque très réel lorsqu'il s'agit d'automatisation IT, souligne Jason Kichen de Tricentis. Lorsque quelque chose fonctionne sans nécessiter d'intervention humaine, cela peut être facilement négligé. Les équipes informatiques peuvent oublier ou ignorer les étapes du processus sous-jacent. Cette façon de penser entraîne des problèmes et des risques potentiels qui peuvent facilement survenir sans n'être ni détectés ni traités. » Le départ de salariés en est un exemple. « Le risque de rupture du processus est très élevé et les problèmes non détectés sont fréquents, car tout le monde a tendance à supposer que tout fonctionne comme prévu », explique le RSSI.

Si l'automatisation fonctionne et ne crée pas d'erreurs évidentes, les équipes IT peuvent l'oublier. « Cela signifie qu'elle n'est pas revue périodiquement pour vérifier si les hypothèses antérieures en matière de sécurité ou d'informatique restent valides », résume Jason Kichen. Au moment de la mise en oeuvre de l'automatisation, les décisions prises étaient probablement raisonnables, « mais, au fil du temps, les hypothèses sous-jacentes qui ont motivé ces décisions changent ». « Si les équipes informatiques ne disposent pas d'un processus correspondant pour revoir périodiquement l'automatisation et sa mise en oeuvre, elles peuvent être exposées à des risques sérieux qui étaient peut-être inexistants lors de la mise en oeuvre initiale, mais qui sont désormais bien présents et avérés », souligne le RSSI.

L'absence de contrôle des systèmes d'automatisation peut s'étendre à l'absence de suivi du marché. « Dans les mois ou les années qui suivent, de nouveaux fournisseurs peuvent apparaître et fabriquer un produit qui réalise de manière plus sûre et plus efficace ce que l'équipe avait automatisé, explique Jason Kichen. Si les équipes ne sont pas à l'affût de ces avancées parce que leur processus en place fonctionne, ce n'est que lorsque quelque chose de grave se produira qu'elles commenceront à repenser leur approche et à réaliser que la technologie et le paysage des fournisseurs ont progressé. »

5) La gouvernance de la RPA ne va pas de soi

Cela peut sembler contradictoire, mais les DSI doivent surveiller et gérer la flexibilité et l'autonomie permises par l'automatisation. Dans le cas contraire, les choses peuvent rapidement devenir incontrôlables. « L'automatisation est en fin de compte un spectre, ce qui signifie qu'il appartient à chaque organisation de déterminer sa tolérance individuelle au risque et d'agir en conséquence, dit Erik Gaston de Tanium. Et si cette flexibilité peut être bénéfique, elle nécessite une planification minutieuse, une surveillance régulière et en temps réel, ainsi qu'une formation continue du personnel informatique afin de s'assurer qu'il possède les compétences nécessaires pour gérer et dépanner les systèmes automatisés. »

Il est également important de connaître les dépendances de tout flux de travail automatisé, afin de maintenir la fiabilité et la résilience. « C'est particulièrement important lorsqu'il s'agit de systèmes Legacy qui supportent mal le changement et deviennent plus fragiles avec l'automatisation », précise le DSI.

Une solution pour contrôler l'utilisation de l'automatisation consiste à créer un programme de gouvernance. « Comme pour toute technologie émergente, des réglementations et des normes continuent d'apparaître concernant l'automatisation, et de nombreuses organisations doivent encore déterminer comment adopter l'automatisation d'une manière qui corresponde le mieux aux objectifs de l'entreprise », explique Erik Gaston.

« Même si nous automatisons en utilisant les meilleures plateformes, il est impératif d'examiner les workflows et processus et de s'assurer que les bons garde-fous, la bonne gestion des dépendances et les actions adéquates sont bien en place, ajoute le DSI de Tanium. Cela permet de mettre en place une organisation moderne qui réduit les risques et fait passer l'informatique de l'administration à l'innovation. »

6) Une dépendance excessive à l'automatisation

Peut-on parler, dans certaines organisations, de dépendance excessive à l'égard de l'automatisation IT ? C'est possible, si cela se traduit par un déclin dans d'autres domaines. « Une forte dépendance à l'égard de l'automatisation peut entraîner une atrophie des compétences au sein de la DSI, où les compétences en matière de dépannage manuel et d'intervention peuvent diminuer, explique Kevin Miller d'IFS. Cela devient un risque important lorsque les systèmes automatisés rencontrent des problèmes inattendus nécessitant une résolution manuelle. »

Cette dépendance excessive à l'automatisation peut également entraîner une perte de connaissances institutionnelles sur les subtilités du fonctionnement des systèmes spécifiques à l'entreprise, reprend le CTO, ce qui rend plus difficile l'adaptation ou l'innovation en dehors des processus automatisés.