Panne mondiale: comment les entreprises font face aux risques informatiques
Les entreprises font quotidiennement face aux risques informatiques avec, parfois, des conséquences économiques importantes, comme ce vendredi, après une panne mondiale suite à une mise à jour défectueuse sur les systèmes d'exploitation de Microsoft.
Comment s'y préparer ? Comment réagir ? Voici quelques éléments de réponses.
Comment les entreprises tentent de se prémunir des grandes pannes informatiques ?
Toutes les grandes entreprises sont dotées d'une direction du service informatique (DSI), chargée notamment d'assurer la sécurité informatique et de prévenir les pannes, les cyber-attaques ou toute autre forme de défaillance.
Pour cela, l'une des premières précautions est "de ne pas mettre tous ses oeufs dans le même panier", indique le directeur des systèmes d'information d'une grande banque française.
Une démarche fondée sur le principe de "redondance" afin d'avoir une solution de repli: se doter d'un équipement informatique "matériel" (plusieurs appareils) ou "logiciel" (par exemple deux boîtes mail différentes) dont les différents éléments sont indépendants les uns des autres.
"Ce qui est terrible dans la crise d'aujourd'hui, c'est que c'est précisément des entreprises qui se sont préparées à avoir une sécurité la plus haute possible, à faire confiance à des prestataires en hébergement de très haut niveau qui se sont fait planter. Et c'est pourquoi (cette crise) est si importante", explique Louis Bernard, fondateur de la société de conseil en cybersécurité Crisotech.
Comment en est-on arrivé là ?
C'est une solution informatique totalement inconnue du grand public qui est à la source de la panne mondiale: un logiciel développé par le groupe américain de cybersécurité CrowdStrike. La mise à jour défectueuse de ce logiciel a affecté tous les ordinateurs qui fonctionnaient avec.
Cette panne met en avant la vulnérabilité de nombreuses entreprises, dépendantes de logiciels sur lesquels elles n'ont pas la main.
"Cela fait plusieurs années qu'on voit, tous les six mois ou un an, des pannes internationales. Comme toutes les entreprises de la planète peuvent utiliser les mêmes +briques+ (logiciels, NDLR), quand il y en a une (brique) qui pose problème, cela pose problème à des entreprises de toute la planète", explique Matthieu Brun-Bellut, DSI chez Vitalliance.
Graham Steel, directeur produits cyber-sécurité chez SandBox AQ, note lui aussi le "nombre réduit de fournisseurs" auxquelles les entreprises ont accès pour les solutions logiciels, ce qui "augmente le risque que de tels problèmes se reproduisent".
Comment réagissent les entreprises en cas de panne majeure ?
Les entreprises réagissent par "une démarche hyper classique d'activation d'une cellule de crise", affirme le responsable de gestion des risques dans un grand groupe industriel international.
"Dans les jours qui suivent, la cellule se réunit et prend des décisions toutes les trois à six heures", poursuit ce spécialiste des systèmes d'information.
Tout l'enjeu, une fois la panne informatique identifiée, est "d'amoindrir l'impact opérationnel pour l'entreprise", ajoute-t-il.
Pour cela, les entreprises sont amenées à "arbitrer" les risques, explique le DSI de la grande banque française.
La panne de vendredi trouve sa source dans un logiciel de sécurité qui s'apparente à un antivirus. Dans ce type de panne, "les entreprises peuvent décider de désactiver l'antivirus. C'est un arbitrage entre un risque cyber et un risque économique, à savoir cesser toute activité pendant plusieurs heures", affirme le même DSI.
Quelles leçons tirer de cette panne d'ampleur ?
La panne de vendredi "devrait vraiment inciter toutes les entreprises à mettre en place des systèmes capables d'analyser chaque mise à jour avant qu'elle ne soit autorisée dans leur entreprise", estime Graham Steel, directeur produits cybersecurité chez SandBox AQ.
Mais pour le DSI du secteur bancaire, "en informatique comme en cyber-sécurité, le risque zéro n'existe pas, même dans le spatial ou le militaire".
En revanche, un règlement européen entrera bientôt en vigueur concernant la résilience opérationnelle numérique du secteur financier (DORA), à compter de janvier 2025. "Avec ce règlement, les entreprises devront imposer contractuellement à leurs fournisseurs des délais de réaction. Le sujet se traitera aussi en anticipation", conclut la même source.
R.Salamanca--ESF