Il semble que les enseignements des évènements survenus ces dernières années dans le monde bancaire français n’aient pas eu l’effet de prise de conscience escompté. L’incendie du Crédit Lyonnais en est la parfaite illustration. A cette occasion, on a pu voir se multiplier les énergies autour des concepts de PCA, c’est-à-dire de reprise d’activités des métiers critiques à travers les divers moyens techniques ou humains.

Il serait aisé de croire que les grands établissements bancaires ou industriels, sensibles à la problématique de la perte de données allait réagir fortement. Leur réponse pourrait, devrait, passer par l’identification des données critiques en demandant aux métiers de statuer sur la priorités des applications et informations à remettre en route en cas de désastre.

Que nenni, les DSI réactives et bien pensantes se sont empressées de répondre (à la place des métiers !) par le très convenu « tout va bien, tout est sous contrôle… dormez en paix »

La pression des règlementations de type SOX (qui mesure entre autre les capacités de reprise des grands établissements, ce qui permet au marché de valoriser la solidité de ces établissements) ajoutées à celles locales de type CRBF (qui vérifie régulièrement ces capacités de reprise d’activité), devrait avoir résolu le problème. Hélas, quel désarroi de découvrir, à travers la lecture des audits de ces différents corps d’inspection ou cabinets externes, que le sujet avait été rabaissé à un vulgaire test de reprise informatique sur des applications sélectionnées par la DSI. Et mené uniquement avec des utilisateurs testeurs triés sur le volet.

En discutant avec les gestionnaires internes du risques de ces établissements, on constate une attitude typiquement française face à ce constat : « pour l’instant c’est ainsi on verra plus tard, d’ailleurs chez nous il n’y a jamais eu d’incendie ». Un parfait exemple d’attentisme alors que les manques sont bien connus.

Il faut dire qu’en matière de vocabulaire la traduction n’est pas aisée et prête à confusion. Le PCA (Plan de Continuité d’Activité ou BCP, Business Continuity Plan en anglais) a trop souvent été rapproché au terme anglais DRP (Disaster Recovery Plan), alors que la notion d' »activité » (le business, le métier) a été supprimée au profit d’un « test informatique ».

Sur la base des fraudes survenues ces dernières années les vendeurs bâtissent des stratégies « alimentaires » visant à expliquer à nos frêles RSSI qu’il y a forcément une solution technique à tous leurs problèmes. Or il apparait que les fraudes relèvent essentiellement de problématiques d’organisation et donc de processus internes. Par exemple lorsque l’attribution d’un accès n’est pas soumis à l’identification de la personne physique. L’accès est trop souvent simplement « ajusté » par une validation du management ou du métier, qui dans le meilleur des cas donne un accord par email et dans le pire un accord tacite (les consultants qui entrent dans mon service ont « tacitement » le droit d’accèder à l’intranet). Mais l’identification de la personne physique nécessite un renforcement des moyens généraux liés au contrôle d’accès aussi bien en terme humain qu’en terme de logistique. Mais l’heure étant à la diminution des coûts, les idées de cette nature sont immédiatement tuées dans l’oeuf.

Dans le monde bancaire, la valorisation des incidents majeurs et leur qualification avait été rendue obligatoire par les textes règlementaires de type Bale II. Les banques ont donc commencé à identifier en interne, depuis les années 2001, le coût réel de ces dysfonctionnements. Pourquoi ne pas le rendre public, ne serait qu’aux actionnaires (petits ou grands). Je ne connais pas un actionnaire qui resterait insensible si on lui disait qu’un compte générique a permis une fraude de quelques millions d’euros, et que cela se produit une à deux fois par an… Hélas, les montants de ces pertes (et leurs causes, ndlr) restent aujourd’hui encore confidentiels. Alors qu’ils sont les embryons des grandes fraudes survenues ces derniers temps.

Le RSSI serait-il ainsi devenu orphelin du terme « Responsable » ? Car il se trouve dans une position difficile : « Je suis au courant mais je ne veux pas, je ne peux pas, affronter ma direction sur ces sujets ». Monsieur Chevènement disait « Un ministre quand il n’est pas content il démissionne ». Aors après les pêcheurs et les transporteurs, allons nous assister à des manifestations de RSSI ? Ou à une vague de démissions dans la profession ?