En cette année 2023, bientôt 2024, les entreprises sont confrontées à un climat d’incertitude qui pèse sur leur activité et qui les force à réfléchir aux risques qui pourraient impacter leur fonctionnement. Devant les risques accrus d’attaques informatiques et de pertes de données, il est primordial d’établir des stratégies de prévention et de réaction.

Comment utiliser la résilience informatique pour préparer son système d’information ? C’est la question à laquelle nous souhaitons répondre. Dans cette interview, nous donnons la parole à Jean-Yves Zaoui, PDG de Déessi, afin de présenter le concept de résilience informatique et sa mise en place au sein d’une PME. L’objectif est d’adresser vos préoccupations concernant la protection de vos systèmes d’informations et d’expliquer en quoi la résilience informatique peut garantir la pérennité de votre entreprise même dans un contexte d’incertitude et de risques.

Nathalie Gonzalves : Comment pourrait-on définir le concept de résilience informatique et l’illustrer avec des exemples ?

Jean-Yves Zaoui : Pour définir ce qu’est la résilience informatique, il peut être utile d’expliquer en quoi la résilience est différente d’un PCA ou d’un PRA (Plan de Continuité d’Activité ou Plans de Reprise d’Activité).

Les PRA / PCA sont des scénarios préétablis pour gérer des situations spécifiques définies. On les conçoit pour traiter divers risques identifiés et on les teste régulièrement pour vérifier leur efficacité et pertinence. Par exemple, on met en place des procédures pour que le SI de l’entreprise puisse continuer de fonctionner ou reprendre son fonctionnement, même après une inondation ou un incendie.

La résilience, quant à elle, repose sur une organisation quotidienne flexible, et permet donc de faire face à tous les types d’imprévus. Ainsi, la résilience informatique est définie comme la capacité d’adapter le fonctionnement du SI à des situations inattendues, par des process intégrés au quotidien des employés.

Un exemple simple est le travail hybride, qui est particulièrement adapté pour les entreprises de services de type consulting, IT, services financiers, médias, éducation etc.. L’idée est que si une organisation utilise le travail hybride au quotidien, en alternant entre le bureau et le télétravail, alors elle dispose des outils nécessaires pour continuer d’opérer, même en cas d’incapacité à se rendre au bureau. Pour poursuivre sur cet exemple, quel que soit le lieu où ils se trouvent, les employés sont capables d’utiliser un VPN pour se connecter au réseau de l’entreprise ou pour accéder à des serveurs hébergés.

De même, des outils de messagerie instantanée et de téléphonie comme Teams, Zoom ou 3CX permettent de maintenir une capacité de communication constante, et ce, même si le téléphone fixe de l’entreprise est indisponible. Les collaborateurs restent joignables et sont capables d’appeler leurs interlocuteurs à partir de l’annuaire d’entreprise, et ce, depuis n’importe quel lieu, dès lors qu’ils disposent d’une connexion Internet.

Nathalie Gonzalves : Comment une entreprise décide-t-elle de mettre en place la résilience ? Pourquoi pourrait-elle en avoir besoin ?

Jean-Yves Zaoui : Un exemple personnel est notre passage au télétravail en 2012, suite à des problèmes de transports qui perturbaient notre support client. Outre les problèmes de circulation habituels dans la région parisienne, accidents de la circulation, retards de métro etc…. Cette année-là, d’importantes chutes de neige avaient bloqué les transports en commun, rendant impossible l’ouverture de notre support clients à 8h30. Cette situation a déclenché une réflexion sur la mise en place du télétravail au sein de notre entreprise, ainsi que sur les outils informatiques, de communication et de sécurité associés. En passant à une organisation de travail en mode hybride, nous avons résolu le problème des transports. Pour le faire, nous avons dû adapter notre organisation et impliquer les employés et les responsables d’équipe, de façon à préserver la qualité des relations humaines.

D’ailleurs, pour l’anecdote, la résilience nous a permis de bénéficier d’avantages que nous n’aurions pas eus avec la mise en place d’un PCA ou d’un PRA. Cela nous a permis d’améliorer la qualité de service de notre support technique, en étant disponibles de 8h30 à 19h, quelles que soient les situations. De plus, le télétravail nous a permis de nous éloigner de Paris et d’organiser davantage d’événements pour renforcer les liens entre collègues, comme des afterworks du vendredi soir par exemple.

Pour vous donner un autre exemple, une entreprise peut décider de mettre en place la résilience informatique parce qu’elle a identifié qu’elle possède des employés ou des fonctions IT qui sont vitales pour son fonctionnement quotidien. En effet, lorsqu’on parle de système d’information, il ne faut pas penser uniquement matériel, services ou infrastructures, il faut également penser organisation et ressources humaines. Par exemple, lors de la pandémie de COVID, nous avons été déstabilisés par l’absence d’un employé clé pendant plusieurs mois. Même si certaines questions sont bien anticipées, il peut être compliqué de prévoir l’effet d’une telle situation sur des fonctions essentielles du système d’information de l’entreprise, lorsque la présence d’un individu spécifique est requise. Dans notre cas, nous avons dû gérer cette absence, mais surtout, ajuster notre stratégie dans une optique de résilience, afin de garantir la continuité des opérations.

Nathalie Gonzalves : La résilience permet de faire face à des situations inattendues. Concrètement, quels sont les types de risques qui peuvent être diminués avec la résilience informatique ? Pouvez-vous nous donner des exemples ?

Jean-Yves Zaoui : Il existe différents types de risques liés au système d’information. Nous avons déjà parlé des risques liés à l’accessibilité des locaux (grève, intempérie, COVID, inondation) et des risques liés aux collaborateurs ayant des fonctions « clé » au sein de l’entreprise.

Il existe également des risques liés aux outils de l’entreprise, qu’il s’agisse d’outils informatiques, d’outils métier ou d’outils de communication. Un exemple simple concerne la connexion internet. Aujourd’hui, elle est devenue fondamentale, car les logiciels sont de plus en plus proposés en mode SaaS. Avant, on pouvait vivre en autonomie dans son bureau avec un serveur local et une connexion internet occasionnelle. Aujourd’hui, pour accéder aux serveurs et aux sauvegardes hébergés, il faut disposer d’une connexion internet constante. Face aux problèmes de pannes réseau, qui touchent régulièrement les opérateurs comme Bouygues, Orange et SFR, on peut mettre en place une double connexion avec des technologies différentes, de sorte que si un réseau tombe en panne, l’autre continue de fonctionner. Par exemple, disposer d’un réseau fibre optique d’une part et d’un réseau 4G d’autre part.

Si on veut aller plus loin, il est possible de disposer d’équipement permettant une bascule automatique entre ces connexions et, selon la criticité, de doubler cet équipement. Pour savoir jusqu’à quel point les équipements doivent être doublés, il faut considérer l’ensemble du contexte et des cas d’utilisation. Par exemple, si le travail à distance est possible, alors on peut se permettre de moins mettre l’accent sur la sécurisation du lien internet au bureau, parce que l’on a plusieurs solutions pour remédier à la situation.

Enfin, à l’échelle du salarié, on peut mettre en place la résilience en s’assurant de toujours disposer d’une connexion internet. Par exemple, en ayant des fournisseurs distincts pour son téléphone, sa tablette et sa connexion internet à domicile. Ainsi, dans un plan de résilience, on va identifier les collaborateurs essentiels et vérifier qu’ils disposent bien de ces dispositifs de connexion alternatifs.

Nathalie Gonzalves : La résilience permet-elle donc de disposer d’un système d’information infaillible ?

Jean-Yves Zaoui : Aucun système n’est infaillible. La résilience et les PCA/PRA reposent sur la redondance pour réduire la probabilité qu’un incident affecte ce que l’on souhaite protéger. Toutefois, il existe toujours une probabilité qu’une panne survienne. Le système anti-panne parfait n’existe pas, car la complexité nécessaire pour rendre une architecture plus résiliente peut parfois engendrer des situations inattendues.

Par exemple, nous parlions tout à l’heure de la bascule automatique entre deux connexions internet : ce type de système fonctionne bien lors d’une panne nette, mais si la panne est partielle, la détection peut ne pas se faire et dans ce cas, le basculement peut ne pas s’effectuer. Le souci avec les systèmes anti-panne, c’est qu’ils dépendent de probabilités et que la technologie peut parfois réagir de manière imprévue. Les systèmes ne sont jamais totalement protégés contre les pannes ou les cyberattaques. Les logiciels sont complexes et peuvent présenter des bugs ou des vulnérabilités. Et les pirates informatiques exploitent ces failles…

C’est pour toutes ces raisons qu’il demeure essentiel de réaliser régulièrement des tests de détection de vulnérabilités, de mettre en place une surveillance, et aussi, d’anticiper les futurs problèmes. Par exemple, en cas de perte de données, il est important d’avoir des sauvegardes ailleurs que sur les systèmes informatiques. Les crypto-virus peuvent également chiffrer les sauvegardes, donc des dispositifs garantissant l’intégrité des sauvegardes sont nécessaires. La résilience permet de minimiser les situations critiques, mais il peut subsister des incidents et dans ce cas-là, il faut savoir remédier à la situation.

Nathalie Gonzalves : La résilience informatique, s’il fallait ne retenir qu’une chose ?

Jean-Yves Zaoui : Si je devais résumer… la résilience, c’est vraiment l’utilisation au quotidien des moyens qui permettent de travailler dans un contexte différent de l’habituel. En mettant en œuvre une organisation, des compétences, des outils et des procédures pour affronter les incertitudes et les imprévus avec agilité et efficacité.