L’informatique est un outil employé par la totalité des entreprises aujourd’hui. En dépit de sa grande utilité, en quoi représente-t-il une vulnérabilité pour les entreprises ?
Bernard Malachane : L’informatique est effectivement devenue un outil stratégique pour toutes les organisations et les entreprises. Elle peut devenir une vulnérabilité pour les entreprises si elle est mal maîtrisée car elle est le support de tous les processus de l’entreprise et surtout parce qu’elle gère de plus en plus de données.
Je crois qu’il serait plus approprié de parler de système d’information que d’informatique qui n’est qu’un outil. L’outil en lui-même peut être défaillant mais c’est surtout la façon dont on l’utilise qui est à sous à l’origine des sinistres.
Pour illustrer le lien entre continuité d’activité et système d’informatique, je citerai le résultat d’une étude réalisée en 2001 aux Etats-Unis après les attentats du 11 septembre qui indique que pour 40% des entreprises, le délai maximum d’interruption du système d’information avant faillite est de 72 heures. Je vous laisse extrapoler ce chiffre en 2014.
Je crois qu’il serait plus approprié de parler de système d’information que d’informatique qui n’est qu’un outil. L’outil en lui-même peut être défaillant mais c’est surtout la façon dont on l’utilise qui est à sous à l’origine des sinistres.
Pour illustrer le lien entre continuité d’activité et système d’informatique, je citerai le résultat d’une étude réalisée en 2001 aux Etats-Unis après les attentats du 11 septembre qui indique que pour 40% des entreprises, le délai maximum d’interruption du système d’information avant faillite est de 72 heures. Je vous laisse extrapoler ce chiffre en 2014.
Par quels canaux la paralysie de l’activité se propage-t-elle lorsqu’elle prend pour source un biais informatique ?
Comme toutes les fonctions de l’entreprise reposent sur le système d’information, ce sont évidemment les fonctions critiques qui vont impacter en premier la continuité d’activité. Pour prendre un exemple réel, un centre informatique d’un important groupement d’intérêt économique français dans la distribution avec plusieurs milliers de points de vente a été victime d’une rupture d’alimentation électrique et met plus de 4 heures à rétablir la situation, et ce en plein pic d’affluence des ventes. Outre la perte financière directe, il y eu la perte d’image pour un groupe qui basait son service sur la disponibilité. Dans cet exemple, c’est la distribution qui est impactée.
Peut-on dresser une typologie des expositions à cet égard ?
La typologie des risques auxquels est exposé le système d’informations des organisations est la même que celles des risques de l’entreprise dans sa globalité. Vous avez les risques accidentels, les risques de négligence et les risques de malveillance. Je laisserai de côté les risques accidentels dont il faut se prémunir mais qui n’impactent pas plus le système d’information que les autres ressources de l’entreprise.
J’insisterai sur 3 phénomènes essentiels qui accroissent sensiblement l’exposition des systèmes d’information aux risques. Le big data, tout d’abord, car la croissance exponentielle du volume des données est certes une opportunité pour rendre le marketing de plus en plus intelligent mais c’est une difficulté accrue s’agissant de l’identification et la gestion des données personnelles et confidentielles. Le cloud ensuite, car s’il peut s’avérer une bonne solution de continuité en particulier pour les PME, il n’en reste pas moins que la localisation des données reste le problème majeur ce qui justifie que bon nombre d’entreprise restent encore à des solutions de cloud privé. Le BYOD [Bring Your Own Device ; NDLR] enfin. Comment interdire à un jeune qui vient d’être recruté dans l’entreprise de ne pas utiliser son smartphone ou sa tablette personnelle pour son travail ? Même s’il existe des solutions techniques pour permettre l’accès au réseau de l’entreprise à partir de son téléphone personnel, leur mise en œuvre n’est jamais simple.
Le risque cyber est donc le risque lié entre autres et en particulier à l’exploitation des vulnérabilités issues des 3 phénomènes précédents par des menaces ayant pour origine des malveillances – dont la cybercriminalité fait partie – mais aussi des négligences par manque de sensibilisation.
J’insisterai sur 3 phénomènes essentiels qui accroissent sensiblement l’exposition des systèmes d’information aux risques. Le big data, tout d’abord, car la croissance exponentielle du volume des données est certes une opportunité pour rendre le marketing de plus en plus intelligent mais c’est une difficulté accrue s’agissant de l’identification et la gestion des données personnelles et confidentielles. Le cloud ensuite, car s’il peut s’avérer une bonne solution de continuité en particulier pour les PME, il n’en reste pas moins que la localisation des données reste le problème majeur ce qui justifie que bon nombre d’entreprise restent encore à des solutions de cloud privé. Le BYOD [Bring Your Own Device ; NDLR] enfin. Comment interdire à un jeune qui vient d’être recruté dans l’entreprise de ne pas utiliser son smartphone ou sa tablette personnelle pour son travail ? Même s’il existe des solutions techniques pour permettre l’accès au réseau de l’entreprise à partir de son téléphone personnel, leur mise en œuvre n’est jamais simple.
Le risque cyber est donc le risque lié entre autres et en particulier à l’exploitation des vulnérabilités issues des 3 phénomènes précédents par des menaces ayant pour origine des malveillances – dont la cybercriminalité fait partie – mais aussi des négligences par manque de sensibilisation.
Inscription Newsletter
