fermer
Accueil

L'économiste, le premier quotidien économique au Maroc

jeudi 18 septembre 2014,
En cours de chargement ...
Votre newsletter

Incendies, fraudes, erreurs l'analyse du risque informatique

   

L'informatique a rendu l'entreprise plus performante et plus vulnérable, l'homme plus productif et plus dépendant. L'ordinateur est beaucoup plus qu'une machine, il est aujourd'hui la mémoire de l'entreprise, son "intelligence" et son outil. S'il est altéré, la marche de l'entreprise est aussitôt compromise.

Une entreprise privée de ses possibilités de production ou de son système d'information peut subir des préjudices importants. Ces menaces peuvent être de plusieurs natures qui vont de l'accident (incendie, inondation, foudre) à la défaillance matérielle ou logicielle. En passant par la destruction de fichiers, bibliothèques ou encore le sabotage du centre informatique.

. La destruction de l'information peut prendre des formes plus perverses (un simple aimant peut détruire des fichiers) et le méfait ne sera détecté qu'en exploitation réelle.
Un sinistre informatique entraîne des conséquences très graves telles que la perte de chiffres, la perte de données (fichier clientèle, comptabilité), de logiciel, une atteinte à l'image de marque de l'entreprise et bien sûr des frais de restauration importants.

Des risques non pris en compte

Plusieurs dangers menacent les sites informatiques. Le feu est le plus redouté. Les sites informatiques renferment suffisamment de composantes électriques pour constituer une menace permanente. Tous les spécialistes s'accordent pour reconnaître que les éléments de la construction eux-mêmes amplifient ou au contraire minimisent les risques. Autre facteur de risque important: le dégât des eaux. Selon la dernière étude de l'Apsaird (Assemblée Plénière de Sociétés d'Assurances contre l'Incendie et les Risques Divers), la sécurité spécifique relative aux dégâts des eaux est le facteur le moins bien noté de tous ceux étudiés et répertoriés, quelle que soit la taille de l'entreprise. Les facteurs de risques sont pourtant bien connus et faciles à identifier. Le défaut d'étanchéité des parois, des murs ou des plafonds des salles informatiques est une des toutes premières causes de dégâts des eaux. La sécurité des télécommunications bat, si l'on peut dire, tous les records en matière de risques non pris en compte. Sur la même échelle de cotation que pour les risques précédents, le central téléphonique, qu'il reçoive seulement de simples communications téléphoniques ou des données informatiques est souvent placé n'importe où, rarement dans des salles protégées, même de façon élémentaire, des risques de destruction.

Les pertes dues à l'informatique

On peut les regrouper en six grandes classes:
- dommages matériels et annexes
Il s'agit de coûts de réparation ou de remplacement des matériels endommagés ou volés. A ces coûts peuvent s'ajouter d'autres, dont certains sont importants: coût de réparation, remplacement d'autres biens indirectement touchés, coût de déblaiement, remise en état, recon-ception, reconstruction de locaux et d'infrastructures, frais d'études et d'expertises divers.
- frais supplémentaires
ils correspondent au coût supplémentaire engendré par la mise en oeuvre de moyens de secours informatiques et non informatiques: ressources informatiques et télématiques de secours, environnement de secours, personnel informatique supplémentaire, primes spéciales, heures supplémentaires, frais de déplacement, etc., coût de transport de matériel, location, achat ou location-vente de matériel divers et de locaux, frais d'études et de réalisation (remise à niveau du logiciel, données, organisation), frais divers de reconstitution des données etc.

.

- Pertes d'exploitation
Elles correspondent à des baisses de la marge brute de l'entreprise, induites par le sinistre: pertes d'intérêts bancaires, pertes de chiffre d'affaires, d'honoraires, perte de clientèle, perte de jouissance de biens de l'entreprise, divers.
- Pertes de fonds
Elles correspondent en général à la disparition de biens financiers relatifs à la classe 5 du plan comptable (monnaies, chèques, traites, virements, bons du trésor, actions, etc.). L'acte délictueux aura néanmois pu toucher d'autres classes, notamment les comptes de tiers (clients, fournisseurs, Etat, salariés) et parfois même les capitaux.
- Pertes de biens
Elles correspondent en général à la disparition de biens matériels (hors informatique) en stock et quelques fois de biens achetés non stockés ou de biens immobilisés.
- Autres pertes
C'est par définition une catégorie dont le contenu est varié: pertes patrimoniales, préjudices corporels ou moraux, frais de justice, amendes, frais d'études et d'expertises divers, différentes responsabilités civiles.
En France, le montant total des pertes est estimé à 10,4 milliards de Francs en 1991, soit une augmentation de 5% par rapport à l'année précédente. La ventilation par type de pertes (voir tableau) fait apparaître une hiérarchie significative (frais supplémentaires et pertes d'exploitation: 64%, pertes de fonds et pertes de biens: 22%, responsabilité civile et autres pertes: 9%, dommage matériels: 5%).

Les risques informatiques

Définition: c'est tout événement qui, affectant un système informatique, est susceptible d'entraîner des dommages à l'entreprise concernée.
Il existe différents types de risques:
- Les risques matériels
Il s'agit des risques matériels accidentels (foudre, incendie, dégât des eaux) entraînant la destruction partielle ou totale des matériels ou des supports informatiques et de leur environnement.
- Vol et sabotage de matériel
Le vol concerne essentiellement les petits matériels et les supports informatiques.
Le sabotage physique revêt des formes variées. "Douces", telles le tournevis dans la chaîne d'une imprimante, ou "violentes", comme un explosif dans des locaux d'un centre informatique.
- Pannes et dysfonctionnements de matériel ou de logiciel de base
Les arrêts ou baisses de service d'un centre informatique ne sont pas des événements rares, mais la durée de ces anomalies est en général courte. Lorsque ce n'est pas le cas, les conséquences indirectes peuvent être parfois redoutables (pannes diffuses, dysfonctionnement du logiciel système), entraînant des conséquences qui ne sont pas toutes inventoriées et mesurables.
- Erreurs de saisie, de transmission, d'utilisation des informations
En saisie classique (carte perforées, rubans perforés, disquettes, bandes), le taux d'erreur courant, même après vérification, peut atteindre 0,5%. Les contrôles informatiques et non informatiques permettent de réduire le taux d'erreur apparent en sortie, mais celui-ci correspond en tout état de cause à une fréquence nettement plus élevée que dans les cas des autres sinistres. Les conséquences sont rarement ponctuellement élevées, mais constituent un flux permanent de pertes (dues à des recherches, des reprises, des recyclages, à des pertes de temps et donc d'argent, et des pertes irrécouvrables). Dans les cas où le mode conversationnel est employé en tant que tel, sans support papier de type bordereau, ou sans support du tout, s'ajoutent aux erreurs de transcription les erreurs de lecture, d'interprétation des informations ou d'application des règles.

Accoutumance aux erreurs

Les erreurs de transmission dépendent de la technique utilisée. Celle-ci peut consister en un transfert physique de support d'information ou bien en un système de télétransmission. Dans les deux cas, il peut survenir des destructions, des pertes, des erreurs d'aiguillage, des pertes d'intégrité.
Les erreurs d'utilisation de l'informatique sont plus subtiles et correspondent au fait qu'une même information, selon qu'elle provient d'un système informatique ou qu'elle est le produit d'un travail humain, est considérée très différemment par une certaine fraction des usagers: l'information n'est pas contrôlée ou utilisée de la même façon ou bien encore les règles de déchiffrement du document informatique ne sont pas bien comprises et le document est alors mal interprété, ce qui conduit à des erreurs donc, à des pertes.
Ce type d'erreur est par essence considéré comme un risque d'entreprise, c'est-à-dire inhérent à toute action humaine. Bien que les pertes soient difficiles à isoler et à estimer, il convient de ne pas sous estimer cette catégorie, à laquelle on a la faiblesse de trop s'accoutumer.
- Erreur d'exploitation
Ces erreurs peuvent recouvrir des formes variées: oubli ou effacement d'un fichier ou d'une sauvegarde, débordement d'un fichier, erreur de pupitrage, erreur de préparation ou de lancement, erreur de version de chaîne d'exploitation, mauvaise interprétation d'une instruction, mauvaise manipulation d'un matériel, oubli de réalisation d'une opération, etc.
- Erreur de conception et de réalisation
Une erreur de conception globale d'application ou même au niveau de quelques règles (notamment les contrôles) peut avoir des conséquences dramatiques sur la conformité des traitements qui seront ultérieurement réalisés ou sur leurs performances. Les erreurs de réalisation sont en général moins graves car plutôt uniquement techniques par rapport à un cahier des charges réputé juste.
- Fraude, sabotage immatériel
Le détournement informatique a gagné ses lettres de noblesse dans la presse. L'informatique permet de faire plus vite ou d'éviter les yeux indiscrets. Par ailleurs, compte tenu de la complexité des systèmes et des lacunes que l'on observe, ce genre d'opérations est souvent aisé à réaliser.
Le sabotage peut être matériel ou immatériel. Dans ce dernier cas, l'acte est moins violent mais les conséquences sont presque toujours beaucoup plus graves. Il ne peut s'agir de sabotage ponctuels, de virus et de bombes logiques parfois très sophistiquées. Ces sabotages peuvent toucher le logiciel système, les utilitaires ou les logiciels d'application.

Grève fatale

- Indiscrétion, détournement d'informations
De la simple indiscrétion jusqu'à l'espionnage industriel ou, de plus en plus, commercial, la palette s'enrichit chaque année.
- Détournement de logiciels
La copie illicite, plus ou moins servile, d'un logiciel est toujours un sport en vogue, supportée par la vague des micro-ordinateurs et matériels bureautiques.
Il convient cependant de ne pas oublier "les gros coups" réalisés par des spécialistes de haut niveau, souvent dans des domaines de pointes en plein essor (réseaux locaux, logiciels graphiques, etc.). La perte est liée à la mévente, au mauvais amortissement de l'investissement et à la concurrence sauvage désorga-nisatrice mais pouvant aller jusqu'à la perte de l'investissement et au tassement de la part du marché.
- Grève, départ de personnel stratégique
On ne se prémunit pas aussi facilement du risque d'indisponibilité du personnel que des risques d'indispo-nibilité du matériel. Inutile de dire que la grève du personnel informatique pendant une longue durée serait fatale à bien des entreprises.

Une grève plus courte ou une grève de zèle ou encore une attitude volontairement laxiste (ou induite par des événements extérieurs) serait déjà de nature à entraîner des pertes non négligeables.
Aujourd'hui les systèmes d'information sont devenus des outils stratégiques pour les entreprises et la non sécurité de ces systèmes peut constituer un frain ou même une condamnation à court terme du développement et de la compétitivité de certaines entreprises. Evaluer les risques, prévoir le pire, contrôler les accès du site informatique, protéger données et logiciels s'assurer juridiquement pour lutter contre la malveillance et la fraude et, avant tout sensibiliser son personnel au concept de la sécurité, voilà des tâches, lourdes mais indispensables, auxquelles doit s'atteler tout directeur informatique ou responsable d'entreprise; Il faut ajouter à cela des procédures rigoureuses, c'est-à-dire des exercices réguliers de simulation, des contrôles périodiques des matériels et des mises à niveau constantes.
Pourtant toutes les études le montrent, la perception de la sécurité par les patrons d'entreprise est loin d'être en rapport avec les constatations faites en matières de sinistre informatique.

Si les banques et les compagnies d'assurances se considèrent menacées et investissent dans des procédures ad hoc, les autres secteurs d'activité, même s'ils pensent que la sécurité est une affaire sérieuse, restent majori-tairement sceptiques. Ce qui ne les empêche d'ailleurs pas de reconnaître qu'une interruption de leurs applications informatiques serait une catastrophe.
Autrement dit, la perception des risques potentiels encourus est certaine, mais les mesures prises pour pallier ces dangers restent timides. Faut-il y voir une réticence devant les sommes importantes à engager ou une incapacité à évaluer correctement les risques, à moins qu'il ne s'agisse que d'un fatalisme stoïque devant l'ampleur du problème.

Hasnaa BENOMAR
et S. BENNOUNA*


* Melle Benomar et M. Bennouna ont réalisé le mémoire, dont le présent article est une synthèse de la première partie, pour l'obtention de leur diplôme d'Ingénieur en Génie Industriel à l'Ecole Mohammadia des Ingénieurs