L'informatisation a bouleversé le fonctionnement des entreprises en facilitant l'accès à l'information. Le fonctionnement de bon nombre d'entreprises  est devenu dépendant de l'outil informatique. Sur le continent africain,  l'informatisation des entreprises progressent, et après les grandes entreprises locales, ce sont les PME qui s'y mettent.  

L'objet de cette réflexion n'est pas de donner un cours sur la sécurité informatique,  mais d'évoquer des pistes simples pour limiter les risques pour l’entreprise.

La prise en compte des risques informatiques qu'encourent les entreprises, commencent à préoccuper les DSI et responsables informatiques africains. Ces risques qui pèsent sur l'informatique de l'entreprise ont pour causes des facteurs humains ou techniques.

Les facteurs humains  sont les plus fréquents et concernent très souvent les actions suivantes :

• • exécution d'un programme par erreur
  • effacement accidentel de données ou de programmes
  • Installation fortuite de programmes malveillants, lors de consultation de site internet
  • Connexion d'ordinateur portable personnel sur le réseau d'entreprise introduisant des programmes malveillant

Il existe également l'espionnage pour obtenir des informations sur des activités concurrentes, qui à mon sens n'est pas encore très présent en Afrique.

Les risques techniques sont liés aux défauts et pannes sur  le  matériel et les  logiciels.  

• •  Les coupures de courants intempestive, très néfaste pour les serveurs même si les onduleurs utilisés par les entreprises sont de plus en plus performants.
  • Les incidents liés aux fonctionnements d'un logiciel.
  • La sensibilité des ordinateurs  et les réseaux de communication aux variations de température ou d'humidité  en Afrique.
  • Les incendies dus à des installations électriques non règlementaires.
    

Comment limiter les risques :  

L'impulsion doit venir  de la direction générale, qui doit avoir une gestion cohérente de l'ensemble des activités de l'entreprise,  car la  gestion du risque informatique fait partie intégrante du risque global. Cette démarche globale s'appuie sur des standard de qualité, référentiels et meilleures pratiques à mettre en œuvre : (ISO, ITIL, CMMI, etc.).

Pour palier aux différents risques, l’entreprise doit mettre en place un Plan de Continuité d'Activité. Ce plan d’écrit comment l’entreprise va continuer à fonctionner dans le cas ou un problème préalablement identifié survenait. (cf. annexe pour plus de détails)

La continuité d'activité devient un axe structurant de la politique informatique de l'entreprise : c'est donc une priorité pour le directeur des systèmes d'information (DSI).

Les entreprises présentes sur le continent qui sont des filiales de groupes internationaux sont organisés pour faire face à la survenance d’un incident majeurs sur leur informatique,  par contre il en est autrement pour les entreprises locales, notamment les PME.

En effet, ces dernières n’arrivent pas à couvrir les risques informatique soit parce qu’elles ne sont pas suffisamment informées, soit pour des raisons de couts.

Alors, je recommande aux responsables informatique de s’informer et de laisser libre court à leur imagination pour convaincre la direction générale pour investir dans la couverture des risques informatiques.

Annexe :

Voici quelques étapes-clés dans la construction d’un PCA :

L'audit des activités critiques de l'entreprise
En amont de l'élaboration du plan de continuité, il est important de commencer par lister les activités de l'entreprise considérées comme critiques, c'est-à-dire sans lesquelles elle ne peut poursuivre sa ou ses missions principales.

La formalisation du plan
La formalisation du plan de continuité consiste à décrire clairement les processus à mettre en place sur le site de repli, ainsi que les profils humains et les moyens techniques nécessaires pour les supporter. Afin d'assurer la transition vers la nouvelle organisation, des processus de gestion de crise sont également définis. Il s'agit notamment de détailler. la cascade d'alertes à activer lors de l'incident, ainsi que les différentes étapes visant à mettre sur pied la cellule de crise, et la campagne d'information clients et partenaires qui s'impose.

La phase de test et la maintenance

En vue d'assurer leur passage sans encombre en phase de production, il est bon de soumettre les processus du PCA à une batterie de tests visant à cerner les difficultés techniques et humaines qui pourraient subvenir lors de l'activation. Autre condition de réussite : la maintenance du plan en situation opérationnelle, c'est-à-dire son adaptation (à la fois technique et humaine) au fil de l'eau en fonction des évolutions de l'activité de l'entreprise. "