Continuité d'activité et temps cyber

En effet, la méthode PCA (plan de continuité d'activité) suit généralement la séquence suivante :

• Étude du contexte (cartographie)
• Événements redoutés
• Risques (double critère de l’occurrence et de l’impact)
• Mesures de sécurité possibles
• Plan d’action
• Tests

Après avoir énoncé mes propos classiques sur la cyberstratégie d'entreprise, j''ai ensuite proposé, en première approche, une cartographie en suivant les trois couches du cyber, mais aussi en distinguant l’activité propre de l'entreprise (ou de l'organisation) et ses rapports avec l'extérieur : double grille d'analyse qui permet de séquencer l'analyse.

Cela a été l'occasion d'un double débat.

Le premier a d'abord porté sur la question des limites informationnelles de l'entreprise. En effet, chacun voit bien qu'elle peut avoir des limites juridiques (puisqu'elle fait société et qu'elle constitue une personne morale), et des limites financières (puisqu'une entreprise, non content d'être une personne morale, est aussi une comptabilité : d’ailleurs double, à la fois de flux et de stock, compte de résultat et compte de patrimoine).

Or, la valeur (dans tous les sens) de l'information n'est pas reconnue. On ne sait donc pas les limites de l'information de l'entreprise, entre ce qui est à elle et ce qu'elle transfère à des fournisseurs, sans compter la valeur représentée par les informations échangées (cf. les débats actuels sur le big data - amas de données). Ce qui revient à dire qu'en la matière, les limites de l'entreprise sont encore plus floues que ses autres attributs (car si on ne sait pas désigner objectivement la nationalité d'une entreprise, ses membres savent quelle est précisément sa nationalité, par exemple). Cela vient confirmer une situation qu'on retrouve ailleurs : la fin des limites fixes et linéaires des constructions sociales, en premier lieu des États.

La fluidité du monde, permise par les réseaux, entraînent un floutage des frontières.

L'autre source de discussion a tenu au temps. En effet, les pros de la continuité d'activité la pratiquent par rapport à l'accident : l'incendie, la panne, le pépin qui vont toucher le cœur de l'entreprise et la mettre en faillite. Mais justement, cet incident est succinct dans le temps, même si ses effets peuvent être longs. L'objet de la CA consiste justement à réduire la durée de l'effet, et l'ampleur des conséquences (puisque dans les cas extrêmes, il s'agit d'assurer la survie de l'entreprise).

Or, les problématiques cyber sont duales. Elles peuvent être de court terme (cas de l'attaque instantanée, type DOS ou sabotage) mais elles peuvent aussi être de moyen ou long terme. En effet, les trois types d'agressions cyber sont l'espionnage, le sabotage et la subversion. Deux d'entre elles procèdent donc dans le moyen ou le long terme, ce qui rend les praticiens de la CA mal à l'aise.

Pourtant, tel est bien l'environnement cyber. C'est d'ailleurs une des raisons qui poussent à relativiser les cris d'orfraie sur le cyber-Armageddon : les atteintes de cyber sont des longues fièvres, rarement des crises aiguës. Elles peuvent être toutefois mortelles, témoin cette entreprise hi-tech américaine de la fin des années 1990 qui avait fait faillite parce que ses brevets avaient été pillés (quel est son nom, déjà ?).

Ces remarques, justifiées, amènent à bien penser la question du temps cyber. Au fond, de la même façon qu'on observe un floutage des limites spatiales, ne peut-on également constater un étalement des limites temporelles ? J'en formule l'hypothèse, mais le point mérite discussion.

PS : le CCA vient de publier un lexique. J'avais évoqué la traduction québécoise du BYOD par AVPA (Aportez vos propres appareils). Voici ce que le lexique propose : "AVPA : Dans le lexique structuré, que je vous ai remis, nous avons traduit l’acronyme BYOD par AVOP : Apportez Vos Outils Personnels , qui se prononce bien comme un encouragement « A VOs Postes !). Dorénavant, égéa parlera d'AVOP : faites passer le message !

O. Kempf