EVOLUTION DU RISQUE INFORMATIQUE
Les "Echos Conférence" ont organisé, en mars dernier en partenariat avec le GAN, une journée d'études sur "Les risques informatiques et les télécommunications".
Elle a fait le point sur l'état actuel du risque informatique et sur ses perspectives d'évolution. Ont été passées en revue les mesures d'évaluation, de prévention et de protection pour que l'entreprise puisse faire face à une crise importante due à l'informatique soit directement, soit à la suite d'actions malveillantes.
Le risque informatique est en pleine évolution à travers les développements techniques et juridiques, indique Françoise Gaucher, responsable des services informatiques du courtier d'assurances Faugère et Jutheau.Les équipements encombrants placés auparavant dans des sites protégés et peu nombreux, ont fait place à des appareils miniaturisés, disséminés, individualisés, mis en réseaux. Les capacités de traitements, leurs diversités, l'importance des stockages, s'accroissent sans cesse, amplifiant et diversifiant la vulnérabilité des utilisateurs.
L'importance de l'informatique est telle dans certains secteurs, qu'une interruption prolongée se traduirait par une crise importante pour l'entreprise et pour tout l'environnement qu'elle dessert ou dont elle bénéficie.
Les connections extérieures, les portables connectables sur le réseau téléphonique, contribuent encore à cette vulnérabilité, L'"immatériel", difficile à évaluer prend le pas en gravités potentielles, sur les outils.
J.M. Lamère (Directeur à la Fédérations Françaises des Sociétés d'Assurances) précise que l'ensemble informatique et télécommunications est exposé à des menaces qui proviennent de l'homme, de l'organisation, des procédures et des dispositifs à travers les erreurs, les pannes, les accidents et surtout, de façon majoritaire, à travers la malveillance, qui représente les deux tiers des pertes.
Le risque informatique est caractérisé par une gravité élevée. On a estimé le risque maximum au milliard de francs et le million de francs n'est pas rare.
Les PME-PMI sont particulièrement fragiles. C'est la concurrence qui est le principal moteur de la malveillance (58% des piratages de logiciels).
Le coût pour 1996 des dommages informatiques est estimé à 12 milliards de francs, en France.
Daniel Padouin, commissaire de police, affecté au nouveau service enquêtant sur les fraudes informatiques affirme que le risque informatique est devenu le maillon faible de beaucoup d'entreprises. La part de la malveillance dans les pertes d'exploitation atteint 60% des fraudes signalées. Les autres fraudes sont cachées, essentiellement par le souci de maintenir l'image de marque, de ne pas le faire savoir aux concurrents.
Ces fraudes n'ont pour limites que celles de l'imagination. Elles sont de types très variés :
¥ Usurpations d'identité,
¥ Attaques logiques (recherches d'axes stratégiques, identifications de collaborateurs pollution de circuits de décision),
¥ Vols, divulgations de données confidentielles,
¥ Reproduction de logiciels,
¥ Trafics en tout genre.
On note une complicité intérieure dans 80% des cas.
On a pu parler de "délinquance assistée par ordinateurs".
Cas d'Internet
Le cas d'Internet a été abordé par la totalité des intervenants. Il s'agit d'un réseau de réseaux couvrant le monde entier, croissant à raison de 1 000 nouveaux raccordements par mois. Des organismes, entreprises de toutes tailles, y sont connectés, dialoguant par courrier électronique, avec échanges de fichiers et de logiciels.Tout ceci pose des problèmes de confidentialité et de sécurité donc de risque majeur pour les entreprises. Il n'y a pas de cryptographie organisée pour garantir l'authentification des échanges. Internet donne lieu à de très nombreux trafics et pose de nombreux problèmes d'ordre public, de propriété industrielle et intellectuelle. Il constitue un nouveau média où l'utilisateur agit, réalise, produit sans protections sérieuses. Internet est donc un puissant vecteur de fraudes. On estime à 50 milliards de francs le préjudice causé aux Etats-Unis.
Assurances
Elles doivent porter sur les matériels, dont la valeur n'a cessé de diminuer, et sur les dommages immatériels beaucoup plus difficiles à évaluer.Les premiers seront couverts vis-à-vis des risques "classiques" comme dans le cas d'équipements habituels, sans oublier l'environnement exigeant, indispensable à leur fonctionnement comme la climatisation.
Concernant l'immatériel il y a lieu de procéder à une analyse de risques circonstanciée, des risques aux plans technique et juridique afin de délimiter les domaines de l'assurable et de l'auto assurance.
Ceci exige la conjonction de compétences techniques, juridiques, financières.
La protection vis-à-vis des pertes d'exploitation découlant des malveillances potentielles n'est pas des plus faciles à définir.
Un certain nombre de mesures élémentaires seront prises, telles que proscrire toute connexion à Internet, qui ne soit pas particulière et protégée.
Parmi les exemples cités (G. Guendafa, GAN, Eurocourtage), retenons l'incendie au siège du Crédit Lyonnais qui a détruit la salle des marchés contenant 220 postes informatiques. Le coût global du sinistre se monte à 1 600 MF dont 330 MF (seulement) pour les pertes d'exploitation.
Par contre un incendie dans un centre de traitement de chèques s'est traduit par des dommages négligeables devant les pertes dues au non fonctionnement du "back-up". La perte de la clientèle n'est pas assurable.
Plans de secours
L'assurance ne dispense pas d'avoir à se préoccuper de pouvoir répondre à la question : que fait-on sans l'informatique ?Ceci concerne essentiellement les entreprises dotées d'équipements importants, mais aussi tous ceux qui "ne peuvent vivre sans l'informatique".
L'interruption peut-être plus ou moins brutale et durer plus ou moins longtemps. Quel est le risque acceptable ?
Pour le savoir il y a lieu d'établir un plan de reprise à partir de l'hypothèse maximaliste : perte de l'informatique, et de déterminer l'organisation, les moyens, les procédures de substitution.
Qui ferait quoi si ? Dans les lieux actuels ou sur un nouveau site ? Quels délais de transfert peut-on tolérer ? S'il est nul, il faut avoir recours au "back up".
D'autres questions doivent être posées, liées aux précédentes : Quel est le coût d'une journée sans informatique ? Que se passerait-il sans plan de secours? Combien coûte l'établissement d'un tel plan ?
Rien n'est possible sans sauvegarde, sous forme de documentations écrites et électroniques, protégées.
Il y a lieu de bien estimer la chronologie des opérations et de respecter les priorités dégagées.
Tout ceci va de soi, mais une inondation récente a causé pour 14 MF de dégâts directs, à comparer à plusieurs centaines de MF de dégâts indirects.
Dans son exposé Patrick Canler, responsable production informatique à Auchan a exposé l'important travail entrepris pour bâtir le plan de secours d'une centrale achat, dont l'élaboration s'est poursuivie sur quatre années.
Le retour sur les lieux est en soi un nouveau sinistre, sous une autre forme. Il ne suffit pas d'à inverser la flèche du temps. Ceci exige des procédures différentes mais on est cette fois maître du déclenchement.
Aspects juridiques
La diffusion de l'informatique hors de l'entreprise puis du pays, et la prochaine libéralisation des services de télécommunication, ont multiplié les aspects juridiques. Yan Breban (avocat) a exposé les problèmes concernant les hommes, les droits et les techniques.Les accès des personnes doivent être sécurisés (codes, mots de passe) et spécifiques du besoin d'en connaître et des compétences. Cette segmentation doit s'accompagner d'une sensibilisation.
Les problèmes de droit intéressent la propriété intellectuelle avec ses dispositions codifiées et les sanctions civiles et pénales qu'elles entraînent. Les contrats d'accès à Internet déclinent toutefois la responsabilité des prestataires de service en cas de violation. Il n'existe pas de dispositions spécifiques pour les bases de données. Elles peuvent être protégées. Les logiciels relèvent de la propriété industrielle qui concerne la reproduction, la communication, la distribution et l'adaptation.
Au terme d'une loi de Juillet 1992, l'accès frauduleux, l'atteinte au fonctionnement et aux données sont sanctionnés. L'usage de faux, le recel de données, les falsifications dépendent du Code Pénal. Enfin, les dispositions de la loi informatique et libertés s'appliquent.
Les personnes morales sont également justiciables depuis 1994, à l'exclusion de l'Etat, que les buts soient lucratifs ou non. Parmi les sanctions prévues citons les amendes, dissolutions de société, fermetures, interdictions d'accès aux marchés publics, etc.
Les salariés le sont aussi. Le chef d'entreprise peut dégager sa responsabilité par une note de service ou une clause contractuelle.
Les considérations techniques ressortent des contrats et des délégations.
Les contrats s'adressent essentiellement à des prestataires extérieurs. Les objectifs doivent être précis et comporter des clauses de responsabilités qui apparaîtront dans un cahier des charges et un calendrier explicites. Le défaillant (S MOSSKOFF UNYSIS) n'aura toutefois à répondre que des dommages directs (prévus et prévisibles au départ) donc des dommages auxquels le contractant pourrait faire face.
La délégation doit donner lieu à un contrat. Elle est limitée et précise, nécessite une compétence, s'accompagne des moyens nécessaires à son exercice et dispose de l'autorité nécessaire.
Table ronde
Elle a traité de l'adéquation entre les besoins en sécurité des entreprises et les offres de service.
Parmi les différents points discutés, on a retenu les suivants :
¥ Rattachement du responsable de sécurité :Il doit se placer au niveau de la Direction Générale, garantie, en principe, d'indépendance.
¥ Equipements de sécurité :
Il y a abondance. L'origine est en général étrangère (truquage possible) et on n'en connaît pas la fiabilité. Il faut vivre les problèmes pour trouver les solutions.
Ceci est particulièrement dommageable dans le cas de PME-PMI qui doivent alors faire confiance à des experts, faute de retours d'expériences, ou s'adresser à des associations. Il faut envisager des certifications dans l'avenir.
¥ Internet :
La pression est grande pour se raccorder à Internet. Ceci ne doit pas se faire sans une analyse préalable de risques qui conditionnera l'accord de la Direction Générale. Il faudra aussi suivre l'évolution des personnes et des équipements.
¥ Habilitations :
On se doit de pouvoir reconnaître celui qui est derrière tout terminal (identifier et authentifier). La gestion des habilitations par logiciel n'est pas facile, dans un environnement hétérogène.
Francis DELOBEAU
