Depuis 3 ans, les changements sanitaires et géopolitiques, la prolifération des menaces cyber et les fluctuations des marchés sont venus rappeler aux entreprises l’incertitude de notre époque. La résilience informatique, c’est-à-dire, la capacité pour une structure d’assurer la continuité du fonctionnement de son système d’information, même en cas d’incident inopiné, est devenue une part intégrante de la gestion informatique. Ces événements nous ont rappelé que les risques qui menacent les systèmes d’information sont de plus en plus nombreux, virulents et diversifiés, avec la nécessité d’avoir une démarche pro-active.
Dans le cadre de notre série d’articles sur la résilience informatique, découvrez ci-dessous, une interview de Jean-Yves Zaoui, PDG de Déessi.
Quels sont les types d’attaques informatiques à anticiper pour les entreprises ?
Jean-Yves Zaoui : Ce que l’on voit dans les attaques informatiques, c’est qu’il y a de nouveaux types d’attaques qui apparaissent régulièrement et qui ne sont pas toujours liés à une forte technicité. Une attaque de phishing, c’est vraiment tout sauf de la technique, c’est davantage basé sur un manque d’attention. L’arnaque au président ne fait appel à aucune capacité technique de pénétration de système d’information, c’est le côté dramatique de l’attaque informatique. Au final, ces nouvelles attaques relèvent de l’ingénierie sociale.
On ne sait pas de quoi les menaces de la cybersécurité de demain seront faites, et c’est vraiment cela, le principe de la résilience informatique. On ne maîtrise pas notre environnement, on ne maîtrise pas ce qu’il peut se produire, que ce soit en termes de menaces, de contexte social, les grèves, la canicule…
Une entreprise qui met en place la résilience informatique, par quoi doit-elle commencer ?
Jean-Yves Zaoui : Le plus important, c’est d’avoir une organisation qui permette de tester régulièrement les moyens qui sont utilisés pour contourner les problèmes. Des moyens à la fois techniques et organisationnels, en lesquels on va avoir confiance.
Les aspects techniques sont bien entendu importants dans l’offre proposée par Déessi, et c’est la raison pour laquelle nous avons entrepris la certification ISO 27000, de façon à mieux suivre et mieux contrôler tous les moyens permettant d’anticiper les problèmes et en particulier, les problèmes de cyber attaques.
L’autre aspect important, c’est l’organisation de l’entreprise. Il faut donc pouvoir s’organiser avec souplesse, de façon à ce que l’on soit en mesure de reconfigurer sa façon de travailler lorsqu’un problème inopiné se produit. Il faut également parvenir à ce que cette organisation soit la plus résistante possible, ou du moins, la moins impactée par ces choses qu’on ne sait pas déterminer à l’avance, qui vont arriver et qui vont nous prendre par surprise.
Chez Déessi, comment ça s’organise, la résilience informatique ? Les cordonniers sont-ils les plus mal chaussés ?
Jean-Yves Zaoui : Justement, pas du tout ! (sourire) Chez Déessi, c’est assez particulier parce que nous n’avons pas de plan de continuité. La résilience, chez nous, c’est un mode de fonctionnement à part entière. Nous avons une organisation qui nous permet de travailler dans des contextes très différents et ce, au quotidien : travailler à distance, travailler en équipe… en mettant en œuvre tous les outils que nous utiliserons le jour où nous aurons une crise.
Typiquement, quand le confinement s’est produit, du jour au lendemain, tous nos collaborateurs ont pu travailler à distance immédiatement. Il n’y a pas eu de surprise, parce que dans le quotidien nous étions déjà engagés dans une organisation souple et fluide permettant ce fonctionnement. Cela veut dire aussi que tous nos outils, qu’il s’agisse des outils de communication, des outils de de gestion des tickets, mais aussi, les interfaces qui nous permettent de superviser nos infrastructures et celles de nos clients, sont hébergés de façon distante. Tout le monde est capable de travailler à distance au pied levé et surtout, toutes ces équipes travaillent régulièrement à distance, qu’il s’agisse des commerciaux, de l’équipe Helpdesk, de l’équipe sécurité etc…
Ainsi, lorsque survient un confinement, une grève ou une intempérie, nous pouvons facilement rester à domicile et assurer le service de façon quasi transparente par rapport à ce que l’on fait d’habitude.
Et pour les clients, la résilience informatique chez Déessi, comment ça se passe ?
Jean-Yves Zaoui : Nous proposons à nos clients les mêmes mécanismes que ceux que nous utilisons au sein de notre entreprise. Sur le plan de l’organisation, nous faisons en sorte qu’il soit possible pour l’entreprise de travailler même si les locaux ne sont pas disponibles, parce qu’on ne peut pas se déplacer, parce qu’il y a un incendie, ou autre…
Nous gérons l’informatique de nos clients. La force de notre offre est de mutualiser les compétences, les outils, les process qui permettent d’assurer la qualité de service adéquate et adaptée aux besoins de chacun de nos clients et à leurs activités.
Nous proposons à nos clients des mécanismes de réplication, de sauvegarde externalisée fiabilisée, en particulier pour les cryptos virus, de multiples outils de communication unifiée, d’audit, de support, de gouvernance ….
Nous proposons ainsi à nos clients les composants organisationnels et techniques qui leur permettent de mettre en place leur capacité de résilience.