En informatique, la résilience est la capacité d’un système à continuer de fonctionner en cas de panne, d’incident intentionnelle ou non et/ou de sollicitation extrême. Or, on ne peut que constater de faibles niveaux de sécurité dans nos organisations. Et les exemples ne manquent pas : attaque informatique d’envergure de Bercy à la veille de la présidence française du G8/G20, espionnage via Internet de grandes entreprises, perturbation et attaques de sites Internet institutionnels, comme ceux du Sénat ou de la Présidence de la République.
Dans le domaine des virus, les révélations sur l’implication des Etats-Unis dans la conception du virus Stuxnet, qui a gravement endommagé des centrifugeuses d’enrichissement de l’uranium, retardant ainsi le programme nucléaire militaire de l’Iran, ou encore la découverte du virus Flame, vingt fois plus puissant, laissent présager l’apparition de nouvelles et redoutables « armes informatiques », au potentiel destructeur encore largement ignoré.
De fait, le marché est prometteur. D’après Gartner, les produits et services dédiés à la sécurité informatique des entreprises et des particuliers progresseront de 8,4 % par rapport à 2011 pour représenter un marché mondial de 60 milliards de dollars. Et la croissance devrait se maintenir jusqu’en 2016 pour atteindre 86 milliards. En France, selon Pierre Audoin Consultants (PAC), le marché français de la sécurité informatique a connu une croissance de 10 % en 2011 et son augmentation devrait être entre 2 à 3 fois supérieure à celles des autres secteurs des technologies de l’information d’ici 2015. Par ailleurs, le cloud computing, la mobilité et le BYOD (Bring Your On Device) en entreprise stimulent fortement les besoins en sécurité informatique, car la problématique nouvelle impose de mettre en place des politiques avancées de gestion des données et une sécurité en situation de mobilité.
Les enjeux de la Résilience sont de trois ordres. D’abord d’ordre économique car le marché de la sécurité reste florissant et en pleine croissance, malgré la crise. Ensuite, d’ordre politique : les agences d’Etat et les initiatives publiques se multiplient au regard des enjeux du tout sécuritaire et des menaces d’attaques sérieuses qui planent sur les systèmes critiques de nos organisations. Enfin, d’ordre environnemental : les coûts et impacts écologiques peuvent être, au final, disproportionnés par rapport aux enjeux.
Il faut alors considérer l’éco-efficience comme l’un des paramètres à considérer dans les choix des solutions de résilience. Le Software Engineering Institute, ou SEI, s’intéresse de longue date aux techniques de conception et de gestion de systèmes d’information résilients. En mars 2008, une équipe conjointe du SEI et du CERT, spécialisée dans l’étude et la conception de systèmes d’information « résistants » a publié une première version d’une approche méthodologique destinée à faciliter la mise en œuvre et la gestion de systèmes résilients.
S’appuyant sur les principes d’une démarche d’amélioration continue (un modèle de maturité à cinq niveaux d’aptitude), cette approche dénommée REF (« Resiliency Engineering Framework ») identifie les 26 domaines clefs à suivre afin d’aider les organisations à améliorer ses aptitudes à intégrer les principes de la résilience au quotidien. Gageons que ce premier modèle de maturité sur la résilience de notre informatique se développera rapidement afin de permettre à nos organisations de faire les bons investissements et surtout de prendre les bonnes décisions.
Cet article a été écrit par Pierre Calvanèse, consultant.