Aujourd’hui, le système d’information ressemble à l’électricité : on l’utilise tous les jours, non comme une finalité en soi mais parce que les deux contribuent au bon fonctionnement d’autres ressources de production, à la réalisation d’une activité économique. Lorsqu’un dysfonctionnement majeur survient, il importe de tout mettre en oeuvre et au plus tôt. Cette reprise d’activité peut être « absorbée » comme une perte, un préjudice direct pour l’entreprise, mais il est aussi possible d’anticiper son financement réduisant ainsi l’impact en terme de frais supplémentaires et même en terme de perte de bénéfices.
Cette omniprésence du système d’information génère donc une criticité de son fonctionnement, parfois mal perçue en raison d’une « dépendance cachée » : l’emploi du système d’information à tous les niveaux de l’activité de l’entreprise, la tendance à l’interopérabilité et à l’ergonomie enfin, et heureusement, le bon fonctionnement au quotidien masquent cette importance accrue. Songeons à l’essor de la messagerie électronique et dans une entreprise où la GED, les workflows et les ordres de contrôles de machineries passent tous par un réseau local parfois étendu, la disponibilité de la bande passante est même devenue cruciale.
Cette évolution historique se retrouve au niveau des priorités dans les politiques de sécurité : de la seule sauvegarde des données, on a considéré le secours informatique, puis le plan de continuité des activités ou des services (PCA ou PCS). Le système d’information ne doit plus être isolé de son usage. C’est pourquoi, sans faire de sémantique, il faut privilégier l’objectif de continuité de l’activité économique à la seule continuité des services informatiques. Corollaire, la stratégie de risk management doit privilégier l’analyse d’impact à l’analyse probabiliste : « quel est le risque que tel événement survienne » est remplacé par « quel conséquences pour tel risque ? » et l’impératif de trouver une solution. Cette obligation est non seulement une action managériale, elle devient aussi une contrainte réglementaire, soit par rapport à l’actionnariat et la « due diligence », soit par rapport aux critères de solvabilité et de gestion des risques opérationnels. Ces dernières années ont vu l’émergence de nouvelles réglementations souvent sectorielles : CRBF 97-02, Bâle II, Loi sur la Sécurité Financière, Sarbanes-Oxley, HIPAA, etc. A titre d’exemple, aux Etats-Unis, « est considérée négligente une entreprise qui ne met pas en œuvre des mesures de réduction du risque dont le coût de prévention est inférieur à la probabilité de survenance du sinistre multiplié par la gravité du sinistre ».
Une démarche économique formalisée
Un PCA sera toujours coûteux : investissement en préparation et mise en place, coût plus important lors de son activation, maintien de son adéquation à l’évolution de l’activité et de l’architecture du système d’information. Le financement d’un PCA est donc la démarche économique concomitante à la formalisation du plan et de son test. Mais comment procéder ? Hormis la prise en compte de contraintes internes éventuelles politiques et/ou budgétaires, la démarche est en deux étapes : évaluation du besoin financier puis modèle de financement.
Le résultat des tests de PCA ou l’activation effective des moyens lors d’un incident facilitera l’élaboration d’un tableau de bord d’impact : quel est le sinistre raisonnablement escomptable (SRE) et pour quel montant de préjudice ? Rappelons que le SRE est défini comme le montant maximum des pertes supportées par l’entreprise dans les conditions suivantes : le sinistre s’est produit dans les conditions les plus défavorables possibles, les moyens de protection automatiques ont fonctionné correctement, l’intervention d’équipe de secours s’est déroulé normalement, les moyens de dépannage prévus dans le plan de survie de l’entreprise sont disponibles comme prévu.
Bien sûr, on s’inscrit là dans un risque de sévérité, le transfert des moyens, l’activation de ressources supplémentaires ne seront déclenchés que si l’incident ne peut être corrigé dans un délai supportable ou lorsque le préjudice est immédiatement important. Il n’y a malheureusement pas de métrique permettant d’associer une architecture de système d’information à son besoin de financement car le deuxième facteur, après le SRE, est son aversion au risque.
Les solutions de financement se rangent dans deux grandes catégories : sur les fonds propres ou par transfert. L’entreprise peut décider d’absorber sur ses fonds propres, c’est-à-dire avec sa capacité d’autofinancement, les surcoûts d’activation. Une variante du montage est possible lorsqu’il existe une holding ou un montage en réseau qui permet une répartition du coût entre les différents membres d’une même entité. Une telle réalisation voit toutefois ses limites rapidement atteintes lorsque le sinistre est important ou lorsque les incidents sont récurrents, absorbant la capacité financière en interne.
Couvrir les risques nouveaux
Le deuxième schéma de financement peut s’appuyer sur un partenaire bancaire avec lequel on aura négocié l’octroi d’un prêt à des conditions garanties. Mais, d’une part, ce genre de négociation sur une ligne de crédit ouverte n’est pas à la portée de toutes les entreprises. D’autre part, les conditions d’activation peuvent être délicates à délimiter et/ou préciser. Dans tous cas, et même si on réduit ou supprime le risque de taux, il subsistera toujours une créance pour l’entreprise au niveau de son bilan.
Une variante qui fait intervenir le partenaire assurance est le montage dit en « finite risk ». Ce type de solution permet de couvrir des risques nouveaux ou bien difficilement assurables au moyen de produits d’assurance classiques. C’est l’assuré qui finance lui-même la couverture de ses risques en effectuant pendant plusieurs années le versement d’un montant fixe dans un fonds de placement. Elle finance ainsi un montant assuré qui dépend à la fois de la durée du placement et des montants investis. Toutefois, dès le premier jour du placement, la totalité de la somme d’assurance est disponible. C’est donc une solution combinée produite d’assurance et placement financier. Si un sinistre survient au début de la durée de placement, l’assureur prend en charge le préfinancement des dommages. La compagnie d’assurances assume alors les risques de crédit et de placement. Ce type de montage présente toutefois des inconvénients ou des contraintes : on ne peut l’envisager que pour des montants très importants et donc pour des risques très catastrophiques. Par ailleurs, pour que l’entreprise soit éligible, sa santé financière doit être excellente.
Mais un schéma d’assurance permettra bien plus que le seul financement du PCA. Les garanties dommages « immatériels » pourront s’activer quel que soit le fait générateur : événement naturel ou industriel (par exemple incendie), erreur d’exploitation, malveillance (interne ou externe). De plus, une garantie d’assurance en plus de la prise en compte des frais supplémentaires d‘exploitation offrira le remboursement du préjudice sur le chiffre d’affaires : pertes d’exploitation (ou pertes d’activité bancaire), bénéfice non réalisé, honoraires d’expert. Mais attention : les garanties traditionnelles, dites « tout risque informatique » ne proposent pas une telle exhaustivité d’options ou de faits générateurs ni des montants comparables.
En conclusion, la dépendance de l’activité économique par rapport au système d’information rend plus que probable l’activation d’un PCA lors d’un dysfonctionnement majeur. La mise en place d’un financement est donc une démarche économique auquel le RSSI doit collaborer avec les autres responsables de département (DAF, DSI, Risk Management).
Cet article a été rédigé par Pascal Lointier, Président du Clusif.