Le fiasco de Southwest Airlines de décembre 2022 et le fiasco de la base de données FAA Notam de janvier 2023 avaient une chose en commun : leurs causes profondes respectives étaient embourbées dans une dette technique.
Dans sa forme la plus élémentaire, la dette technique représente une sorte de gâchis technologique que quelqu’un doit nettoyer. Dans de nombreux cas, la dette technique résulte d’un code mal écrit, mais le plus souvent, c’est davantage le résultat d’exigences en évolution que les logiciels plus anciens ne peuvent tout simplement pas suivre.
Les débâcles de Southwest et de la FAA se sont concentrées sur des systèmes hérités qui ont peut-être répondu à leurs besoins commerciaux respectifs au moment de leur mise en œuvre, mais qui, au fil des ans, sont devenus de plus en plus fragiles face à l’évolution des exigences. Une telle fragilité est un résultat infaillible de la dette technique.
L’occurrence fortuite de ces deux échecs très médiatisés à quelques semaines d’intervalle a allumé un feu sous les organisations des secteurs public et privé pour enfin faire quelque chose au sujet de leur dette technique. Il est temps de moderniser, ont proclamé les experts, quel qu’en soit le coût.
Ironiquement, dans le même temps, un ensemble différent d’experts, réagissant au ralentissement économique et aux perspectives d’une récession imminente, a recommandé aux entreprises de retarder leurs efforts de modernisation afin de réduire les coûts à court terme. Après tout, la modernisation peut s’avérer coûteuse et offre rarement le type d’avantages de premier ordre que privilégient les marchés publics.
Comment, alors, les dirigeants devraient-ils prendre des décisions sur le nettoyage de la dette technique dans leurs organisations ? Quelle est l’importance d’une telle modernisation dans le contexte de toutes les autres priorités auxquelles est confrontée la suite C ?
Comprendre et quantifier le risque technique de la dette
Certaines dettes techniques sont pires que d’autres. Tout comme obtenir un prêt hypothécaire à faible taux d’intérêt est une bien meilleure idée que l’argent usurier, il en va de même pour la dette technique. Après tout, les raccourcis lors de l’écriture de code sont parfois une bonne chose.
Quantifier la dette technique, cependant, ne consiste pas à mesurer d’une manière ou d’une autre à quel point le code hérité peut être désordonné. La vraie question est celle du risque pour l’organisation.
Deux exemples distincts de dette technique pourraient être tout aussi désordonnés et tout aussi dignes d’être refactorisés. Mais le premier exemple peut très bien fonctionner, avec peu de chances de causer des problèmes à l’avenir. L’autre, en revanche, pourrait être une bombe prête à exploser.
La mesure des risques inhérents à la dette technique est donc bien plus importante que toute mesure de la dette elle-même – et place cette discussion dans le domaine plus large de la mesure des risques ou, plus largement, de la notation des risques.
La notation des risques commence par le profilage des risques, qui détermine l’importance d’un système pour la mission de l’organisation. La notation des risques fournit une base pour une analyse quantitative basée sur les risques qui donne aux parties prenantes une compréhension relative des risques d’un système à un autre ou d’un domaine de dette technique à un autre.
Le score de risque global est la somme de tous les profils de risque dans le système en question – et donne ainsi aux parties prenantes un moyen de comparer les risques de manière objective et quantifiable.
Une ressource particulièrement utile (et gratuite) pour calculer les profils de risque et les scores est le Cyber Risk Scoring (CRS) du NIST, une agence du département américain du Commerce. CRS se concentre sur le risque de cybersécurité, mais les gens du NIST l’ont intentionnellement structuré pour l’appliquer à d’autres formes de risque, y compris le risque de dette technique.
Comparaison des risques dans l’entreprise
Tant qu’une organisation a une approche quantitative du profilage et de la notation des risques, il est alors possible de comparer un type de risque à un autre et, en outre, de prendre des décisions sur l’atténuation des risques à tous les niveaux.
Parmi les types de risques qui se prêtent particulièrement bien à ce type d’analyse, on peut citer le risque opérationnel (c’est-à-dire le risque d’indisponibilité) qui inclut le risque réseau ; le risque de cybersécurité (le risque de failles) ; le risque de conformité (le risque de situations de non-conformité) ; et le risque de dette technique (le risque que les actifs hérités aient un impact négatif sur l’organisation).
La principale raison de mettre ces différents types de risques sur un pied d’égalité est de donner à l’organisation une approche objective pour prendre des décisions sur le temps et l’argent à consacrer à l’atténuation de ces risques.
Au lieu de demander à différents départements de décider comment utiliser leurs budgets respectifs pour atténuer les risques dans leur périmètre de responsabilité, les organisations ont besoin d’un moyen de coordonner les divers efforts d’atténuation des risques qui conduisent à un équilibre optimal entre l’atténuation des risques et les coûts pour y parvenir.
Calcul du budget de la menace
Une fois qu’une organisation examine ses risques de manière holistique, un fait inconfortable émerge : il est impossible d’atténuer tous les risques. Il n’y a tout simplement pas assez d’argent ou de temps pour faire face à toutes les menaces possibles pour l’organisation.
L’atténuation des risques ne consiste donc pas à éliminer les risques. Il s’agit d’optimiser la quantité de risques que nous ne pouvons pas atténuer.
L’optimisation de l’équilibre entre l’atténuation et le coût de sa réalisation pour plusieurs types de risques nécessite une nouvelle approche de la gestion des risques. On retrouve cette approche dans la pratique de Ingénierie de la fiabilité du site (SRE).
SRE se concentre sur la gestion du risque de fiabilité, un type de risque opérationnel lié à la réduction des temps d’arrêt du système. Étant donné que l’objectif de zéro temps d’arrêt est trop coûteux et trop long à atteindre dans la pratique, SRE appelle à une bilan d’erreur.
Le budget d’erreur est une mesure de la distance par rapport à la fiabilité parfaite que l’organisation cible, compte tenu des considérations de coût liées à l’atténuation de la menace de temps d’arrêt.
Si l’on généralise la notion de budget d’erreur à d’autres types de risques, on peut postuler une budget de menace qui représente une mesure quantitative du degré d’élimination d’un risque particulier que l’organisation est prête à tolérer.
Intellyx appelle l’approche quantitative des meilleures pratiques pour gérer les budgets des menaces pour différents types de risques ingénierie des menaces. En supposant qu’une organisation a tiré parti de l’approche de notation des risques du NIST (ou d’une approche alternative), il est désormais possible de concevoir une atténuation des risques pour tous les types de menaces afin d’optimiser la réponse de l’organisation à ces menaces.
Application de l’ingénierie des menaces à la dette technique
La résolution de la dette technique nécessite une sorte d’effort de modernisation. Parfois, cette modernisation consiste simplement à refactoriser du code. Dans d’autres cas, il s’agit d’un processus de migration complexe et difficile. Il existe également plusieurs autres approches de la modernisation avec différents profils de risque/récompense.
La notation des risques fournit une évaluation quantitative de l’importance d’un effort de modernisation particulier pour l’organisation, compte tenu des menaces inhérentes à la dette technique en question.
L’ingénierie des menaces, à son tour, donne à une organisation un moyen de placer les coûts d’atténuation des risques de dette technique dans le contexte de tous les autres risques auxquels l’organisation est confrontée, quel que soit le département ou le budget responsable de l’atténuation d’un risque ou d’un autre.
L’application de l’ingénierie des menaces au risque de dette technique est particulièrement importante car d’autres types de risques, à savoir la cybersécurité et le risque de conformité, attirent davantage l’attention et, par conséquent, une plus grande réaction émotionnelle. Il est difficile d’avoir peur du code spaghetti lorsque les rançongiciels font la une des journaux.
Cependant, comme le montrent les débâcles du Sud-Ouest et de la FAA, le risque de dette technique est tout aussi risqué que d’autres formes de risque plus sexy. Grâce à l’ingénierie des menaces, les organisations disposent enfin d’un moyen d’aborder le risque de manière globale, impartiale et basée sur les meilleures pratiques.
La prise Intellyx
L’ingénierie des menaces fournit une approche proactive basée sur les meilleures pratiques pour briser les silos organisationnels qui se forment naturellement autour de différents types de risques.
La suppression de ces silos est une priorité depuis plusieurs années maintenant, ce qui a conduit à des pratiques telles que NetSecOps et DevSecOps qui cherchent à tirer parti des données communes et de meilleurs outils pour briser les divisions entre les départements.
De tels efforts ont toujours été difficiles car ces différentes équipes ont depuis longtemps des priorités différentes – et tout le monde finit par se battre pour une part du gâteau budgétaire.
L’ingénierie des menaces peut aligner ces priorités. Une fois que chacun réalise que sa mission première est de gérer et d’atténuer les risques, un véritable changement organisationnel peut se produire.
Copyright © Intellyx LLC. Intellyx est une société d’analyse et de conseil du secteur axée sur la transformation numérique des entreprises. Couvrant tous les aspects de l’informatique d’entreprise, des mainframes à l’intelligence artificielle, notre large concentration sur les technologies permet aux dirigeants d’entreprise et aux professionnels de l’informatique de faire le lien entre les tendances perturbatrices. Au moment de la rédaction, aucune des organisations mentionnées dans cet article n’est cliente d’Intellix. Aucune IA n’a été utilisée pour produire cet article.