Logo CSOEC Ordre des Experts-Comptables
» Entreprise TIC

Accueil
  Comment démarrer ?
  Comment réussir ?
  Comment améliorer ?
>  Comprendre
- Les outils de gestion des petites structures
- Le site Web
- Le commerce électronique
- Les téléprocédures
- Internet, Extranet, Intranet
- Organisation des réseaux locaux et étendus
- L’externalisation des technologies informatiques
>> La sécurité et la signature électronique
  Auto diagnostique rapide

PROTECTION DES DONNÉES SENSIBLES (SAUVEGARDES, PLAN DE SECOURS)


::: Protection des données sensibles :::

L'article consacré aux risques a mis l'accent sur les différentes menaces qui pèsent sur l'entreprise, qui peuvent conduire à la perturbation de son exploitation et à la mise en péril de son existence.

Face à ces menaces qui peuvent prendre diverses formes (accidents, erreurs, malveillance), l'entreprise peut prendre des mesures pour éviter qu'elles surviennent ou, si ce n'est pas possible, réduire leur effet.

Parmi ces mesures, certaines sont orientées vers la protection des données vitales pour la survie de l'entreprise : celles qui capitalisent son savoir-faire et qui identifient ses clients.

A quoi cela sert ?

Protéger les données sensibles de l'entreprise face aux diverses menaces identifiables implique de mettre en place des procédures pour satisfaire trois des quatre critères que nous avons identifiés dans l'article " les principaux risques " :

  • Disponibilité ;
  • Intégrité ;
  • Confidentialité.

Assurer la disponibilité implique de rechercher la fiabilité et la continuité du service. Ces caractéristiques concernent non seulement les données elles-même mais également les supports qui les stockent et les dispositifs qui en permettent l'accès. Les précautions prises lors de la sélection des fournisseurs et la redondance de certains équipements critiques permettent d'atteindre des niveaux satisfaisants pour ce premier point.

Assurer l'intégrité implique de rechercher l'exactitude, l'exhaustivité et l'inaltérabilité. Ces caractéristiques concernent à la fois les individus qui saisissent et manipulent l'information, et les logiciels qui supportent ces opérations. Des efforts de sensibilisation et de formation d'une part, et des procédures rigoureuses de contrôle lors de l'acquisition (progiciels) ou de l'écriture (logiciels spécifiques) des programmes, d'autre part, permettent d'atteindre des niveaux satisfaisants pour ce second point.

Assurer la confidentialité implique de permettre l'accès aux données aux personnes habilitées et à elles-seules. Ceci implique de hiérarchiser les valeurs pour les données et les droits pour les utilisateurs. Ceci implique aussi de mettre en place des procédures qui permettent de définir et de faire évoluer ces valeurs et ces droits, ainsi que celles qui permettent de vérifier, à chaque instant, l'ajustement du droit d'un utilisateur à la valeur des données qu'il consulte et manipule.

Les réseaux de télécommunication constituant les points privilégiés d'accès aux données par des utilisateurs dispersés géographiquement, l'accent doit être mis sur la sécurisation de ces réseaux et sur l'authentification de ceux qui s'y connectent. L'article consacré à la sécurité des réseaux développe toutes les solutions envisageables pour assurer cette sécurisation. Malheureusement, prendre toutes les précautions envisageables dans le cadre d'un budget raisonnable ne permet pas d'éliminer complètement le risque.

Le Plan de Secours Informatique (PSI) ("Disaster Recovery Plan") permet de reprendre une activité avec un niveau de service satisfaisant après un incident. Ce processus est essentiellement axé sur la restauration de l'infrastructure informatique et des ensembles de données.
Contrairement à une idée communément répandue, il n'est pas indispensable de revenir directement à un niveau de disponibilité maximal. Une restauration séquencée dans le temps peut s'avérer plus efficace et plus économique.

C'est ici qu'intervient le concept de Plan de Continuité des Activités (PCA) ("Business Continuity Plan"), processus anticipatif d'analyse des fonctions critiques de l'entreprise, d'identification des risques majeurs et d'évaluation de l'impact d'un incident éventuel. Le Plan de Continuité va inclure un plan de secours qui va avoir un horizon plus large que celui duPSI (il va bien sûr se coordonner avec lui), un plan de crise qui va gérer l'organisation et la communication pendant le crise, et un plan de reprise qui va préparer le retour à la situation normale.
La continuité des activités s'inscrit dans une démarche de pérennité de l'entreprise. Elle consiste à mettre en place aux niveaux critiques du " business " des procédures visant à assurer le fonctionnement de ses activités clefs, ainsi que la disponibilité des ressources indispensables au déroulement de celles-ci.

Comment cela marche ?

Les deux plans concernés (PSI/PCA) doivent être créés, puis testés et affinés, et finalement déployés et périodiquement mis à l'épreuve.
Ce cycle est coûteux, consommateur de ressources et indirectement productif mais il peut s'avérer particulièrement rentable sur le long terme, lorsque le désastre survient.
La plupart des plans recèlent des failles et il faut les confronter à la réalité des mises en situation pour les détecter et les éliminer. Le recours à des spécialistes peut éviter bien des erreurs : celles qu'ils ont eu l'occasion d'expérimenter par eux-mêmes.
Il ne faut pas hésiter à poser des questions très basiques : où pourront s'asseoir ceux qui vont assurer les processus de secours et ceux qui vont ramener la situation à la normale ? Comment seront disposés et connectés leurs postes de travail et leurs outils de communication ?

Les étapes de cette construction sont :

  • Créer une équipe (responsables, sponsor, expertise) ;
  • Définir des objectifs orientés "business", ce qui signifie ne pas exprimer les enjeux en termes de disponibilité d'unité centrale ou de débit réseau, mais plus concrètement en termes de nombre de commandes que l'on pourra servir et nombre de factures que l'on pourra émettre ;
  • Mesurer l'impact des objectifs définis sur les processus, sur les applications, sur les équipements de l'infrastructure ;
  • Identifier les exigences spécifiques (listes de contacts, matériels à disposition, ...) ;
  • Identifier, motiver et former les individus clefs ;
  • Identifier les points critiques ;
  • Construire les plans.
  • Mettre en place la logistique, les outils et les procédures liés à ces plans.
  • Les tester.
  • Tirer un premier bilan du test et apporter les correctifs nécessaires.
  • Définir des procédures de révision périodiques (ce qui n'est pas le plus simple, un récente étude ayant montré que 45% des entreprises qui avaient mis en place un PCA ne l'avait pas revu depuis lus d'un an).

Les entreprises qui mettent en place un Plan de Continuité des Activités doivent s'assurer de la disponibilité des ressources nécessaires en termes de compétences, d'équipements et de logiciels.

Plan de Secours et Plan de Continuité des Affaires

Combien cela coûte ?

Etes-vous capable d'évaluer le coût de l'indisponibilité d'un système critique pour l'entreprise? Est-ce que ce chiffre inclut les clients et les ventes perdues ? Inclut-il le coût des salariés dans l'incapacité d'effectuer leur travail ? Une fois que ces pertes éventuelles sont évaluées, le retour sur investissement du plan de continuité des activités devient plus facile à estimer.

Une étude préliminaire à la définition d'une politique de sécurité, pour évaluer les risques acceptables et les actions prioritaires coûtera environ 10 000 € pour une PME.
Un audit pour faire l'analyse des failles du système d'information et recommander les solutions à mettre en place coûtera environ 15 000 €.

Une fois reconnu l'intérêt du couple PSI/PCA, la question suivante est " Comment faire ? ". Il y a plusieurs niveaux de solutions envisageables qui vont de la répartition des ressources de traitement sur plusieurs sites (pour en diminuer la vulnérabilité) et de l'organisation de "back ups" réciproques avec un système SAN (Storage Area Network) ou un dispositif de réplication des données (solution la moins coûteuse) jusqu'au recours à un prestataire spécialisé dans ce domaine, sur la base d'un contrat pluri-annuel (à partir de 250 000 € par an, donc envisageable seulement par une grosse structure).

La priorité doit être donnée aux solutions et aux fournisseurs limitant au moindre coût les risques importants pour constituer le plan de secours. Un arbitrage est nécessaire à partir du ratio coût/risque couvert qui traduit le risque que l'entreprise choisit d'assumer et de son niveau d'exigence par rapport au délai de reprise attendu.

Comment font-ils ?

L'importance du sujet est largement sous-estimée.

Selon une étude du CLUSIF (Club de la Sécurité des Systèmes d'Information Français, association qui regroupe 300 organismes et sociétés) publiée en 2003, les moyens mis en oeuvre par les PME contre les sinistres informatiques restent limités. L'enquête a porté sur 600 entreprises (sociétés de moins de 1 000 salariés et réalisant un chiffre d'affaires inférieur à 7,6 millions d'euros) et cent collectivités publiques. Les entreprises ont déclaré disposer d'un budget informatique moyen de 58 000 euros, ce qui implique que, dans la plupart des cas, ces sociétés n'ont pas de dotation réservée à la sécurité. Malgré cette limite, 82 % des entreprises du panel consultées estime que leur système d'information est bien ou très bien protégé. Et a peu près autant considèrent qu'en cas de sinistre, l'impact financier sera résorbé par la trésorerie courante. En fait, seules 44 % ont au moins une personne en charge de la sécurité informatique.

Le taux d'équipement en antivirus dépasse 95 %. Cependant la protection reste perfectible, puisque seulement 36 % effectuent une mise à jour hebdomadaire, et 28 % à un rythme mensuel.
Nous avons vu que l'étude initiale représentait déjà un montant non négligeable par rapport aux budgets concernés. Ceci explique sans doute cela car les solutions techniques deviennent de plus en plus accessibles pour les petites organisations.

Comment cela va évoluer ?

Peu sensibles aux enjeux de la sécurité, les PME représentent pourtant la première cible des services de sécurité proposés par différents types de spécialistes en ce domaine.

Les opérateurs de télécoms ayant leurs propres infrastructures Réseau Privé Virtuel (RPV)/IP (voir la partie consacrée à l' " Organisation des réseaux locaux "), les fournisseurs de services sur Internet (ISP) disposant de sites d'hébergement et des sociétés spécialisées offrent une large palette de services de sécurité touchant aux accès (pare-feu et RPV), aux contenus (chiffrement, antivirus, filtrage de contenu) ainsi qu'aux systèmes (mises à jour).

La tendance à l'externalisation est forte du fait de la nécessité de mutualiser les compétences et les équipements, même si les constructeurs mettent sur le marché des routeurs sécurisés destinés aux petites entreprises.

Disposant d'un pare-feu, de fonctions de RPV, de chiffrement en accélération matérielle et d'administration de gestion de la Qualité de Service, de maillage intégré, de résolution de pannes IPSec et autres outils, ces matériels veulent répondre, avec un ticket d'entrée inférieur à 350 euros, aux besoins des services voix, données et vidéo des PME.



Plate-forme Entreprise

cncc

cfcj

cnb

cnb

cnb



Accueil | Contactez-nous | Crédits | Haut de page