(L'Expansion - Cahiers du Management -Octobre 2002)
Crise aiguë, antichambre de la catastrophe
Continuité du système d’information en situation de crise extrême ? Capacité d’une organisation à poursuivre son activité malgré une paralysie de son système nerveux ? Même question et mêmes enjeux, les intérêts vitaux sinon la pérennité de l’entreprise !
Mal gérée, la défaillance du SI débouchera sur une catastrophe pour les salariés, les actionnaires, les clients et autres partenaires. Le blocage informatique de la Grande Bibliothèque aurait eu un impact différent dans toute entreprise évoluant en milieu concurrentiel.
Depuis le 11 septembre, nous savons que l’interruption du système d’information peut être sous-jacente à une catastrophe bien plus dramatique.
C’est à la conception des systèmes qu’il convient de prendre la mesure du risque. Mais la plupart des projets négligent cette dimension, source de coûts et de délais supplémentaires. Ce n’est pas une erreur, c’est une faute et voici pourquoi.
Pour mieux l’éviter, apprenons à croire en la certitude de la catastrophe
La plupart des Directions Générales considèrent que le Système d’Information contribue au développement de l’entreprise mais n’en menace pas l’existence. Les maîtres mots du Management, enseignés dans tout MBA, sont encore stratégie, marketing et finance.
Les DSI, en revanche, doivent garantir le fonctionnement quotidien de leurs systèmes. Peut-être davantage conscients des risques liés à une innovation technologique, et encouragés par des experts prônant des scénarios toujours plus alarmistes, ils cherchent à se protéger par deux types de mesures : des dispositions de précaution (fire-wall, antivirus, équipements redondants, plans de reprise d’activité) et des actions de prévention auprès de leurs équipes et des services utilisateurs (ne pas ouvrir un mail d’origine inconnue, éviter de diffuser des informations confidentielles non cryptées sur Internet)
Dans un récent ouvrage, Jean-Pierre Dupuy nous alerte sur les limites de telles approches et nous invite à nous projeter dans le futur, sur l’après catastrophe, pour réguler nos comportements dans le présent. C’est parce que nous sommes certains des conséquences écologiques de la prolifération des gaz à effet de serre que nous devrions adopter une autre politique de transport.
La catastrophe est inscrite dans les fondements de la théorie du chaos qui régit notre Univers
A l’époque de Laplace l’évolution de tout système était déterminé par son présent, pour peu que l’on connaisse les lois du mouvement et les conditions initiales. Plus tard, Nietzche pensa que " L’erreur est de croire que l'ordre, la clarté, la méthode doivent tenir à l'être vrai des choses, alors qu'au contraire, le désordre, le chaos, l'imprévu, n'apparaissent que dans un monde faux ou insuffisamment connu ".
Au début du XXème siècle, Poincaré confirma scientifiquement cette intuition : on ne peut prévoir ce qui va se passer, personne ne contrôlant toutes les perturbations qui influent sur notre monde. Une petite modification des données initiales bouleverse complètement le comportement de nos systèmes. Lorentz a illustré cette théorie, en météorologie, par " l’effet papillon " selon lequel le battement d’aile d’un papillon au Japon pourrait déclencher un cyclone aux Antilles.
Pourquoi nos systèmes d’information modernes échapperaient-ils à ces règles ? A l’image des formes fractales, leur complexité se caractérise par une " invariance d’échelle " : de la toile du Web au micro-processeur en passant par le poste de travail.
Désormais comme le papillon japonais, n’importe quel hacker éclairé pourrait, si l’on n’y prend garde, semer la panique à Wall Street !
" Dès l’instant où l’on voit le chemin du jour, on voit le chemin de la mort " (Sénèque)
JP Dupuy nous invite à nous rallier à la pensée du philosophe allemand Hans Jonas : plutôt que de nous affoler, raisonnons en croyant à la réalité de la catastrophe. Les attaques virales sont certaines dès que l’on connecte le moindre micro-ordinateur à Internet.
S’il faut penser la catastrophe, comment imaginer l'ensemble des scénarios que l'entreprise est susceptible de vivre ?
Christophe Roux-Dufort distingue plusieurs méthodes permettant de construire de tels scénarios, soit en capitalisant sur des crises antérieures pour des spectres plus ou moins étendus, soit en imaginant des futurs possibles.
Les entreprises hébergées dans les Twin Towers n’avaient certainement pas prévu l’attaque du 11 septembre mais la plupart avaient anticipé sur la défaillance de leurs sites informatiques, scénario assez classique dans leur métier.
Les systèmes des centrales nucléaires sont pensés, non seulement pour garantir un taux de disponibilité maximum, mais aussi pour se prémunir d’une défaillance humaine. Il s’agit là aussi d’un scénario bien connu en milieu industriel à risques. L’erreur humaine n’explique-t-elle pas 58% des catastrophes aériennes ?
Parfois la chance aide un peu : le Crédit Lyonnais avait doublé sa salle de marché du Bd des Italiens par crainte de conflits sociaux, sans imaginer, peut-être, l’étendue de l’incendie qui ravagea le siège de la Banque en 1999. Et pourtant…
Quelques pistes pour " mieux penser la catastrophe "
Il y a déjà plus d’une dizaine d’années, Nicolet analysait les causes de catastrophes industrielles majeures (Tchernobyl, Three Miles Island, Bhopal…). Parmi ses conclusions, figurent quelques règles dont pourraient s’inspirer bien des concepteurs de systèmes d’information :
Rechercher l’homéostasie
C’est une propriété des systèmes vivants à s’adapter aux variations de leur milieu ambiant ou à certaines agressions pour chercher à revenir à leurs valeurs nominales. Une fonction de gestion de crise corrige le dysfonctionnement ou supplée le système défaillant par des procédures dégradées.
Les systèmes de conduite d’installations industrielles à risques distinguent 3 domaines de valeurs pour les variables de commande : le domaine de fonctionnement, le domaine prescrit (sous-ensemble du précédent), le domaine interdit. L’alarme se déclenche si le point de fonctionnement franchit la frontière domaine prescrit / domaine de fonctionnement et non pas lorsqu'il atteint la limite entre domaine de fonctionnement et domaine interdit.
Etre à l’écoute des signaux faibles
Un accident majeur est souvent précédé d’une cohorte de dysfonctionnements. Celui de Three Miles Island fut une répétition d’incidents survenus sur d’autres installations. Les dirigeants de la Barings ont ignoré plusieurs avertissements, réclamations ou rumeurs qui auraient pu éviter la faillite de la Banque en 1995.
Une succession de tentatives d’intrusions avortées peut être prémonitoire d’une attaque extérieure. La dégradation de service d’un fournisseur constitue souvent l’avant-garde d’une défaillance plus importante. Encore faut-il installer les bons capteurs pour détecter de tels signaux souvent noyés dans le bruit de fond d’un monde saturé d’information.
Eviter " l’effet domino "
Les ERP participent à l’amélioration des performances administratives de l’entreprise. L’enregistrement d’une nouvelle commande client peut immédiatement déclencher des ordres de fabrication et mettre à jour les plans de trésorerie. Mais ils contribuent aussi à accroître sa vulnérabilité.
Le tout intégré est dangereux car sa complexité est difficile à maîtriser. La proximité de plusieurs unités sensibles (ordinateurs d’exploitation, systèmes de secours) optimise les m2 mais concentre le risque. De même que l’interconnectivité de composants majeurs facilite la diffusion d’une perturbation. Penser la catastrophe, c’est notamment savoir décomposer et isoler pour limiter l’effet d’un dysfonctionnement.
Et si l’on n’y a pas pensé plus tôt ?
Un état des lieux s’impose dans le cadre d’un audit réalisé avec un œil neuf ! Concernant les systèmes d’information, on appréciera le potentiel de crise par rapport à 3 familles de menaces : disponibilité des installations, intégrité des données et confidentialité de l’information..
L’audit ne doit surtout pas se cantonner à la seule dimension technique (redondance des équipements, architectures logicielles, systèmes de contrôle d’accès, protection incendie) mais examiner également les méthodes de travail, les relations avec les partenaires, l’environnement social, la capacité à prévoir et à gérer une situation de crise.
Des démarches assez traditionnelles existent. à une période où les grands projets sont un peu sous l’éteignoir, c’est peut-être l’occasion de s’en préoccuper en étant conscient de ce vieil adage tibétain :" La permanence n’apporte pas la sécurité car tout n’est qu’impermanence " Jacques Pansard - Octobre 2002
Pour en savoir plus :
Gérer et
décider en situation de crise – C. Roux-Duport – Dunod 2002
Le chaos et l’harmonie – Trnh Xuan Thuan – Folio 2002
Pour
un catastrophisme éclairé – JP. Dupûy – Seuil 2002
Catastrophes, non merci ! – JL Nicolet – A. Carnino – JC. Wanner –
Masson 1990
http://ebb83.free.fr/introduction
