Aller au contenu | Aller au menu | Aller à la recherche

Continuité d'activité et temps cyber

Par Olivier Kempf le vendredi 29 mars 2013, 22:22 - CYber et économie - Lien permanent

L'autre jour, atelier de travail avec le club de la continuité d'activité (CCA). Ne rigolez pas : derrière ce sigle ... déroutant ! se cache une activité fort sérieuse, très professionnelle, qui vient originellement du monde de la banque et qui s'est étendue aux grandes entreprises. Objet de ma présence : une intervention sur "cyber et continuité d’activité". J'aime bien ce genre de trucs car cela permet de confronter ses idées (les idées d'un fournisseur d'idées sont toujours fumeuses, n'est-il pas?) à des pratiques concrètes et des expériences de terrain. Mais aussi à essayer de trouver des réponses pratiques à des situations qu'on n'aurait pas envisagées tout seul. Cette méthode expérimentale n'a vraiment d'intérêt que si elle permet à la fois de confirmer des propositions, et de déceler des points qui méritent précision. Comme celui du rapport au temps, dont je voudrait vous entretenir ce soir.

source

En effet, la méthode PCA (plan de continuité d'activité) suit généralement la séquence suivante :

  • Étude du contexte (cartographie)
  • Événements redoutés
  • Risques (double critère de l’occurrence et de l’impact)
  • Mesures de sécurité possibles
  • Plan d’action
  • Tests

Après avoir énoncé mes propos classiques sur la cyberstratégie d'entreprise, j''ai ensuite proposé, en première approche, une cartographie en suivant les trois couches du cyber, mais aussi en distinguant l’activité propre de l'entreprise (ou de l'organisation) et ses rapports avec l'extérieur : double grille d'analyse qui permet de séquencer l'analyse.

Cela a été l'occasion d'un double débat.

Le premier a d'abord porté sur la question des limites informationnelles de l'entreprise. En effet, chacun voit bien qu'elle peut avoir des limites juridiques (puisqu'elle fait société et qu'elle constitue une personne morale), et des limites financières (puisqu'une entreprise, non content d'être une personne morale, est aussi une comptabilité : d’ailleurs double, à la fois de flux et de stock, compte de résultat et compte de patrimoine).

Or, la valeur (dans tous les sens) de l'information n'est pas reconnue. On ne sait donc pas les limites de l'information de l'entreprise, entre ce qui est à elle et ce qu'elle transfère à des fournisseurs, sans compter la valeur représentée par les informations échangées (cf. les débats actuels sur le big data - amas de données). Ce qui revient à dire qu'en la matière, les limites de l'entreprise sont encore plus floues que ses autres attributs (car si on ne sait pas désigner objectivement la nationalité d'une entreprise, ses membres savent quelle est précisément sa nationalité, par exemple). Cela vient confirmer une situation qu'on retrouve ailleurs : la fin des limites fixes et linéaires des constructions sociales, en premier lieu des États.

La fluidité du monde, permise par les réseaux, entraînent un floutage des frontières.

L'autre source de discussion a tenu au temps. En effet, les pros de la continuité d'activité la pratiquent par rapport à l'accident : l'incendie, la panne, le pépin qui vont toucher le cœur de l'entreprise et la mettre en faillite. Mais justement, cet incident est succinct dans le temps, même si ses effets peuvent être longs. L'objet de la CA consiste justement à réduire la durée de l'effet, et l'ampleur des conséquences (puisque dans les cas extrêmes, il s'agit d'assurer la survie de l'entreprise).

Or, les problématiques cyber sont duales. Elles peuvent être de court terme (cas de l'attaque instantanée, type DOS ou sabotage) mais elles peuvent aussi être de moyen ou long terme. En effet, les trois types d'agressions cyber sont l'espionnage, le sabotage et la subversion. Deux d'entre elles procèdent donc dans le moyen ou le long terme, ce qui rend les praticiens de la CA mal à l'aise.

Pourtant, tel est bien l'environnement cyber. C'est d'ailleurs une des raisons qui poussent à relativiser les cris d'orfraie sur le cyber-Armageddon : les atteintes de cyber sont des longues fièvres, rarement des crises aiguës. Elles peuvent être toutefois mortelles, témoin cette entreprise hi-tech américaine de la fin des années 1990 qui avait fait faillite parce que ses brevets avaient été pillés (quel est son nom, déjà ?).

Ces remarques, justifiées, amènent à bien penser la question du temps cyber. Au fond, de la même façon qu'on observe un floutage des limites spatiales, ne peut-on également constater un étalement des limites temporelles ? J'en formule l'hypothèse, mais le point mérite discussion.

PS : le CCA vient de publier un lexique. J'avais évoqué la traduction québécoise du BYOD par AVPA (Aportez vos propres appareils). Voici ce que le lexique propose : "AVPA : Dans le lexique structuré, que je vous ai remis, nous avons traduit l’acronyme BYOD par AVOP : Apportez Vos Outils Personnels , qui se prononce bien comme un encouragement « A VOs Postes !). Dorénavant, égéa parlera d'AVOP : faites passer le message !

O. Kempf

Commentaires

1. Le vendredi 29 mars 2013, 22:22 par yves cadiou

Il y a certainement un rapport entre le cyber et la continuité d’activité. « Y a pas que ça mais y en a » (Michel Audiard). Il faut se demander pourquoi certains ordinateurs ne travaillent pas le week-end.

C’est le cas de celui de l’une de mes deux banques : lorsque je lui passe un ordre de virement par @internet, même entre deux de mes comptes, je dois attendre le prochain jour ouvrable pour que l’ordre soit exécuté : il est capable de me dire qu’il a bien reçu l’ordre mais c’est tout. Je crois me rappeler que l’ordinateur de cette banque ne travaille pas non plus les jours fériés : je le saurai après-demain, lundi de Pâques.

Je suppose que le cyber n’est pour rien dans cette latence car l’ordinateur de ma deuxième banque, au contraire, exécute instantanément les ordres que je lui donne par @internet quels que soient le jour et l’heure. J’imagine (mais j’ai très mauvais esprit) que le délai d’un jour ou deux imposé le weekend par l’une des banques est un procédé pour allonger la durée des agios que les clients supportent en cas de découvert.

Il faut se demander aussi pourquoi la bourse n’est pas ouverte H24 et 7/7 alors que tout fonctionne par électronique. Pour ça, au contraire du § précédent, je n'ai à proposer aucune médisance explicative. La fermeture de la bourse est évidemment une survivance du passé et de la fameuse « corbeille » mais j’aimerais comprendre pourquoi on maintient cette pratique d’une autre époque alors qu’on pourrait s’en affranchir.

2. Le vendredi 29 mars 2013, 22:22 par Colin L'hermet

Bonjour à tous,
Bonjour M. Cadiou,

Donc, une interrogation sur le plan de la continuité des modalités de l'activité (PCMA) plus que sur la continuité de l'activité proprement dite ?

Ce serait affreusement progressiste que de profiter d'une remise en cause de l'activité pour se pencher sur ses modalités et les amender à l'aune de contraintes nouvelles (ou réactualisées). Pourvu que personne ne nous lise.
Je frémis même à l'idée que les PCA, en cas de crue centeniale par exemple, ne deviennent l'occasion de réformer, voire optimiser (audax, audax !) le fonctionnement des grandes administrations centrales-centralisées-centralisantes sises à Paris.
La mise hors d'eau des réseaux ISIS et Rimbaud, l'étanchéification-durcissement de leurs points nodaux, tout cela ne porte que sur les couches physique et logique, et beaucoup moins sur les couches sémantiques et sociales (accès à l'information, pourquoi faire, quelle information privilégier, intranet, internet OpenSource, leur mix dans quelles proportions, nomadisme sécurisé Vs centralisation en dispositif de crise resserré, mode dégradé Vs maintien de l'intégralité des productions, etc) au point de ne pas avoir grande réflexion sur le centre de l'activité : on vise le business as usual, on plaque du connu sur de l'inconnu ; quasiment aucune créativité.
Aaaah, s'emparer de la krisis pour en faire un pivot fructueux ! Sapere aude !
Ooouuups.
Allez, je vais me recoucher, je crois bien que je suis fiévreux.

Bien à tous,
Cl'H./.

3. Le vendredi 29 mars 2013, 22:22 par VonMeisten

Pour Yves Cadiou
En générale, les SI travaillent jour et nuit. Toutefois, certains systèmes ne sont pas prévus pour faire cohabiter du TP (traitements en ligne) et du batch (traitements en lot). C'est parfois une réelle impossibilité technique...

4. Le vendredi 29 mars 2013, 22:22 par Ph Davadie

"Or, la valeur (dans tous les sens) de l'information n'est pas reconnue." Effectivement, car l'information n'est pas une grandeur, elle n'est donc pas mesurable comme une bonne partie de tout ce qui est immatériel.
On peut alors se demander si le temps n'épouse pas les 'éventuelles) bornes de l'objet qu'on considère.
Prenons un objet,
- s'il est matériel, il est achevé à un moment donné ; si on le vole, on sait à quel moment le vol a eu lieu ainsi que les effets directs de ce larcin qui sont bornés dans le temps, soit jusqu'à ce que cet objet soit remplacé.
- s'il est immatériel comme une information, on ne sait quand il est achevé, car une réflexion se poursuit et peut rebondir, même après un certain temps pendant lequel on la croit arrivée à son terme ; on ne connaît donc pas les effets exacts de son vol, car on ne peut les borner dans le temps.

Ajouter un commentaire

Le code HTML est affiché comme du texte et les adresses web sont automatiquement transformées.

La discussion continue ailleurs

URL de rétrolien : http://www.egeablog.net/index.php?trackback/1744

Fil des commentaires de ce billet