Édito

Le RPA : nouveau concept à la mode ou solution indispensable ? Certains processus métiers sont encore composés de tâches répétitives qui sont exécutées manuellement, comme la compilation de données provenant de sources différentes. Pour les outiller, une solution d’automatisation traditionnelle, par développement de script ou d’une fonctionnalité dans une application du SI, n’est parfois pas flexible, intéressante économiquement ou adaptée aux besoins des métiers. Le RPA devient alors une solution intéressante. RPA est l’acronyme de Robotic Process Automation. Il s’agit d’un ensemble de solutions proposant l’automatisation des tâches répétitives au sein des back-office métiers des entreprises par une approche low code, c’est-à-dire nécessitant peu ou pas de programmation. Les outils RPA se positionnent en concurrence des solutions classiques d’automatisation. Ils sont faciles à configurer, disposent d’une interface intuitive et d’une logique de workflow. En quelques heures, l’automatisation d’une tâche est réalisable, par le métier, seul.

Que penser de l’arrivée de cette technologie pour les métiers de la sécurité et du contrôle ?

Il est tout d’abord essentiel de se pencher sur les risques. Le RPA met à la main d’utilisateurs métiers un moteur de scripts puissant, qui, mal utilisé, pourrait provoquer des dommages dans le système d’information (altération de bases de données, etc.). La formation des utilisateurs est donc essentielle, malgré l’apparente facilité d’utilisation de ces outils. L’authentification est également essentielle : lorsqu’il est utilisé directement par les utilisateurs finaux, le RPA peut se connecter à des applications avec les identifiants et mots de passe de l’utilisateur pour réaliser des actions en masse. Ils sont donc enregistrés dans l’outil RPA, qui sans chiffrement robuste peut provoquer une fuite d’information incontrôlée. Plus pernicieuse, une utilisation généralisée, voire systématique, du RPA pourrait générer des effets pervers, comme le report de projets d’évolutions du SI, ces derniers voyant leur ROI chuter, étant cannibalisés par cette automatisation low cost. À terme, une dette technique considérable pourrait s’accumuler. Enfin, il suffit d’un changement de version d’une application pour que les commandes doivent être mises à jour, voire revues complètement, dans le pire des cas. Une gouvernance stricte des opérations de maintenance doit donc être mise en place pour éviter un risque de désordre dans l’environnement IT. Le RPA reste toutefois une opportunité, notamment pour les métiers de la sécurité et de la gestion des risques. Il existe déjà des applications éprouvées, par exemple dans la gestion des identités et des accès. En effet, grâce à son cout relativement faible, le RPA peut compléter une solution d’IAM existante pour provisionner des bases de comptes et de droits lorsqu’il est difficile économiquement ou techniquement de le faire. Un autre exemple en plein essor est l’automatisation des contrôles pour assister la fonction « contrôle interne » dans ses tâches chronophages. Le robot va chercher directement les exports de données dont il a besoin dans les applicatifs métiers, et calcule un taux de conformité ou un résultat de contrôle. Ce résultat est ensuite automatiquement renseigné dans l’outil GRC, tout en stockant la preuve de contrôle associée.

Faut-il donc s’intéresser au RPA ?

Oui, sans aucun doute, mais à condition d’avoir bien évalué les cas d’usages et réfléchi à son mode de déploiement, d’exploitation et de maintenance. Les cas d’utilisation actuels du RPA les plus intéressants sont ceux où cette technologie est un complément aux autres solutions d’automatisation traditionnelles. À l’avenir, le RPA pourra permettre aux métiers d’accéder facilement et directement à des moteurs de décision plus complexes, notamment à base d’intelligence artificielle. Pour en savoir plus, retrouvez dans notre livre blanc l’approche lean cognitif que nous proposons pour atteindre un premier résultat rapidement.

Lire le livre blanc RPA

PAUL COURSAULT
Consultant sécurité et gestion des risques