Deux ans après la tragédie
des tours jumelles du World Trade Center, les entreprises
ont-elles pris des dispositions particulières pour
parer à l'éventualité d'un choc majeur,
affectant leurs équipes, leur infrastructure informatique
ou leurs données critiques ? Quelle prise de conscience
s'est opérée ? Quelles évolutions
ont été apportées ?
"Les entreprises
ont compris que la continuité des affaires n'était
pas seulement une question d'ordinateurs, mais pouvait
malheureusement recouvrir des aspects humains",
explique Nicolas Grangier, responsable de l'activité
Business Continuity and Recovery Services chez IBM Global
Services. Outre les dispositifs traditionnels de sauvegarde
et de restauration des données, les aspects humains
et organisationnels sont en effet apparus en pleine
lumière suite à la désorganisation
qui a suivi l'effondrement des tours et à la
mort de centaines d'employés.
"Il a fallu mettre
à plat les plans de continuité au plan
technique mais aussi au niveau des procédures métier.
Une analyse en profondeur des chaînes de prise
de décision dans l'entreprise en cas de catastrophe
a été nécessaire", ajoute
Pascal Petit, co-fondateur de la société
de conseil Net2s.
Pouvoir
délocaliser les équipes rapidement
Autre prise de
conscience post "11 septembre" : la nécessité
de pouvoir délocaliser les équipes dans
des temps réduits. Une solution pour laquelle
a opté Invesco Gestion, société
spécialisée dans la gestion pour compte
de tiers, en s'adressant à Sungard.
"Nous louons à
Sungard une vingtaine d'emplacements. Ce sont des postes
utilisateurs, dans des bureaux mutualisés ou
fermés, avec imprimante et salle de réunion",
indique Pascal Delprat, en charge des systèmes
d'information de la filiale française de Invesco
Gestion. L'objectif : permettre aux salariés
de retrouver, à l'identique, leur poste de travail
quelques heures seulement après qu'une catastrophe
soit survenue.
Pour Invesco Gestion, l'élément
déclencheur n'a pas été le 11 septembre
2001, mais les inondations qui ont touché la
région de Houston quelques mois auparavant au
cours desquelles le centre de données de la société
a dû être déplacé en urgence
à Denver. Autre mesure prise depuis cette date,
le routage de tous les appels, par France Telecom, vers
un standard téléphonique hébergé
chez Sungard.
Une
décision du ressort des directions générales
"Quel que soit le laps
de temps que vous définissez pour redémarrer
vos applications critiques et le point duquel vous voulez
repartir en termes de fraîcheur de l'information,
c'est désormais un projet de direction générale",
précise Sylvie Cohen, consultante chez BMC Software
France, éditeur de solutions de sauvegarde et
de restauration des données.
Un avis partagé
par Edouard Peltier, associé chez Unilog Management :
"Une prise de conscience générale conduit actuellement
les grands comptes ainsi que les plus importants donneurs
d'ordre à se doter de plans de continuité d'activité,
avec la même ferveur que s'il s'agissait d'acquérir
un discriminant concurrentiel supplémentaire. Ce qui
est, au fond, certainement le cas".
Avis également partagé
par Chris Norman, associé chez Deloitte & Touche, en
charge de la ligne de service Security Services : "Après
la réaction immédiate, nous avons constaté une prise
de concience des comités de direction, qui ont lancé
des processus de réflexion sur les besoins réels en
sécurité et plans de continuité. Ceci se traduit aujourd'hui
en missions de cartographie des risques informatiques
et de mise en place des programmes basés sur
des normes de système de gestion de sécurité, notamment
ISO 17799".
Rester
en contact, coûte que coûte
Alors que les entreprises
ont pris des dispositions pour permettre à leurs
employés de retrouver rapidement des conditions
opérationnelles satisfaisantes et être
plus performants dans la gestion des crises, elles ont
également manifesté le besoin pressant
de savoir en temps réel où étaient
leurs collaborateurs. Lors des attentats du 11 septembre,
le groupe Thales a ainsi pu identifier en temps réel,
grâce à la solution de gestion Ulysse - Travel & Expenses,
d'Etap-on-Line, la liste du personnel en déplacement
à New-York ce jour là.
"Nos clients nous
ont demandé beaucoup plus de recherches sur des applications
destinées à rester lié à ses proches (SMS, MMS, géolocalisation,
concepts Internet viraux, télémédecine). L'inquiétude
liée à l'après-11 septembre de perdre le contact avec
ses proches, mais aussi la montée en charge du multimédia,
ont contribué à une forte augmentation des applications
à caractère social, sans que celles-ci soient forcément
ludiques", ajoute de son côté Yannick
Lejeune, directeur de l'Institut d'Innovation Informatique
pour l'Entreprise (3IE).
Une tendance à
laquelle vient s'ajouter le besoin croissant de travailler
à distance quand les conditions sont défavorables.
Chez Webex, éditeur de solutions de conférences
Web, on en est convaincu : "Nos services ont été
utilisés dans le contexte de l'épidémie de SRAS, par
des dirigeants et cadres d'entreprises globales, notamment
du secteur bancaire, pharmaceutique et industriel",
précise Tony Gasson, vice-Président et directeur
général pour l'Europe.
Le cyber-terrorisme
? Peu probable
Tout comme Mikko Hyppönen,
directeur du laboratoire de recherche anti-virus de
F-Secure, qui déclare
dans nos colonnes "les terroristes fondent leur
action sur la peur et la panique, il leur faut donc
des victimes", de nombreux experts écartent
l'hypothèse d'une attaque terroriste par le biais
d'Internet, même si une attaque physique peut
être couplée à une attaque des réseaux,
notamment pour des installations sensibles telles que
des centrales nucléaires ou électriques.
C'est également
la thèse défendue par RSA Security, dans
un livre blanc consacré au cyber-terrorisme.
On peut lire dans ce rapport : "Si le but est de
faire des dégats, il est plus facile pour les
terroristes d'utiliser une bombe - ou toute autre arme
physique - que d'apprendre comment s'introduire dans
un système, avec toute la complexité et
la traçabilité que cela implique".
Le spécialiste de la sécurité en
conclut que les entreprises ont actuellement plus intérêt
à se concentrer sur le cyber-crime, c'est-à-dire
les intrusions et les vols de données, que sur
le cyber-terrorisme.
Des propos corroborés
l'an dernier par le cabinet Gartner qui avait procédé
à une simulation baptisée "Digital
Pearl Harbor". Une attaque de grande envergure serait
certes en mesure d'infliger des dégâts conséquents
à l'infrastructure informatique américaine - sans pour
autant faire de victime - mais pour un budget minimal
de 200 millions de dollars et une durée de préparation
de 5 ans.
|