Compétitivité des entreprises dans la société en réseau
Domaines d'intervention de MVC
N'hésitez pas à nous contacter
Sécurité
A titre d'introduction et de motivation : Appentis ; Condoleeza ; une bouteille de champagne
Pour expliquer la problématique de la sécurité dans un univers cybernétique, le meilleur exemple est celui de la " porte de l'appentis " de jardin pour ranger les outils :
 | Le coût d'une serrure de sûreté est-il justifié ? |
| Si je l'achète, aurais-je le temps de la poser et si oui, mon père, ma femme et mes enfants s'en serviront-ils ? |
| Où rangerais-je la clé ? |
| Si je quitte le jardin quelques minutes, devrais-je fermer la serrure ? |
Il s'agit :
| de temps et de coûts |
| d'interdépendance systémique |
| de tendance à la négligence à tous les instants |
Plus prestigieuse, la citation de Madame Condoleeza Rice, conseillère très écoutée de G.W. Bush :
| " Today, the cyber economy is the economy… Corrupt those networks and you disrupt this nation. " |
Mount Vernon Consulting offre une bouteille de champagne au premier qui trouve l'auteur de la phrase suivante :
| " Dans quelques semaines, ou quelques mois, il y aura un " 11 septembre des Systèmes d'Information ". Personne ne peut prévoir s'il sera plus dramatique que celui de New York. Ce qui est déjà certain, c'est qu'après, les protections qui paraissent aujourd'hui inacceptables seront généralisées. La seule excuse qu'exprimeront tous ceux qui n'auront pas agi suffisamment avant sera que beaucoup d'autres sont dans le même cas qu'eux." |
L’exposé du problème est simple :
| Les systèmes d’information supportent toute l’activité des entreprises : fonctionnement interne, relation avec les clients, les fournisseurs et le partenaires, outils de production, réseau de fluides, de transport et d’information, fourniture de services, gestion des immeubles et des sites… L’information accumulée et structurée est un actif essentiel des entreprises. |
| Leur vulnérabilité à de multiples risques est grande : pannes, attaques par des individus, des concurrents, des états, des mafias, des groupes terroristes… |
| Les risques associés sont largement dépendants des risques dans les domaines non informatiques (accès aux locaux informatiques par exemple) |
| Les conséquences vont de difficultés passagères à la mort d’hommes en passant par de graves interruptions d’activité et les transferts de fonds frauduleux. Elles ont tendance à se propager si elles ne sont as arrêtées à temps. L’impact peut porter sur des montants considérables. Les pannes d’un secteur ne laisse pas les autres indifférents (pas d’électricité sans télécommunications et vice versa). |
| Les outils d’intrusion sont disponibles, simples et pas chers. |
| Il n’est pas possible de se protéger contre tous les risques. Il n’est pas acceptable de ne pas avoir un plan efficace. |
| L’interconnexion en réseaux aggravent les risques et facilitent leur propagation |
Comment aborder le problème en sept points :
(1)Avoir une approche systémique
| Tous les aspects sont liés : accès aux locaux, téléphone, mots de passe, base de données, procédures… |
| Les causes sont multiples et sont systémiques |
| Le maillon le plus faible fixe le niveau de protection du système |
| Les solutions sont trans-domaines et systémiques ; elles ont cinq dimensions : processus, management, ressources humaines et formation / information, technologies, assurances |
(2) Evaluer les impacts potentiels
| Etudier ce qui se fait ailleurs, trouver des centres d'excellence à prendre en exemple | ||||
| Analyser, comprendre, et surtout ne pas nier ce que l'on sait ! | ||||
| L'impact est le résultat de la combinaison de deux
facteurs :
| ||||
| Les risques doivent être classés en fonction du niveau d'impact et du coûts des solutions |
|
Risques (Conceptuel à ce stade) |
Niveau de risques (impact et fréquence) |
||||
| Faible | Moyen | Elevé | Inacceptable | ||
|
Coûts des solutions |
Faible |
A traiter |
|||
| Moyen |
?? |
A traiter |
|||
| Elevé |
|
?? |
A traiter |
||
| Très élevé |
Transformer en niveau < à moyen |
||||
(3) Balayer toute la gamme de réponses à un risque et leur enchaînement :
| Eviter que le risque se réalise et donc être alerté à temps |
| Eviter les conséquences du risque s'il se réalise et donc tenir compte du temps de réponse des solutions choisies |
| Alerter les responsables des systèmes interdépendants et les organismes de protection (sécurité interne, police, assurances…) |
| Réduire les conséquences opérationnelles si les protections s'avèrent inefficaces |
| Relancer les opérations si le service est perturbé |
| Rétablir l'intégrité du système |
(4) Se servir du tableau et de la " gamme " ci-dessus pour définir le planning et le plan d'actions
| Phase 1 : éradiquer les risques inacceptables… |
| Phase 2 : etc. |
| Phase 3 : etc. |
| Phase 4 : assurer la surveillance du système et mettre à jour le procédures et les plans |
(5) Impliquer toute l'équipe à tous les niveaux :
| Convaincre (c'est vital pour l'entreprise), expliquer simplement mais rationnellement, rendre conscient du risque (les outils existent pour toutes les formes d'attaque) |
| Auditer |
| Clarifier les responsabilités |
| Assurer un feedback fréquent : sans euphémisme ni excès en s'appuyant sur des exemples chiffrés |
| Ne pas tolérer l'inacceptable. |
--------------------------------------------------------
