Chronique de Mounir Chaabane, Conférencier Sécurité et Stratégie IT

Spécialiste de la sécurité informatique et des conformités juridiques sur la protection des systèmes d’information, depuis plus d’une dizaine d’année Mounir exerce en tant que responsable de la sécurité informatique. Témoin des évolutions technologiques et des organisations dans les entreprises, il s’interroge sur la place de la cybersécurité à l’ère de la transformation numérique des modèles business et des usages.

Conférencier en sécurité économique auprès de l’INHESJ, c’est par une approche transversale qu’il tente de rapprocher les regards entre les utilisateurs des technologies du numérique et les professionnels de la cybersécurité. Pour une protection positionnée « entre le clavier et la chaise », les enjeux de chacun ne doivent pas tuer le « Je ».

Mounir prépare actuellement la parution de son premier ouvrage « Digital parano ». Retrouvez dans cette chronique, en avant-première, les extraits des chapitres qui le constitueront.

Retrouvez les derniers articles de cette chronique :
Voir tous les articles

Le shutdown, allégorie de la résilience ou révélateur du numérique bullshit ?

Les USA viennent de vivre leur traditionnel shutdown de mi-mandat. Avec un record à la clé de 35 jours d’une fonction publique partiellement à l’arrêt. Comment une organisation peut-elle tenir aussi longtemps et redémarrer ? La réponse est dans une résilience où la bonne volonté humaine dépasse largement l’outil numérique.

Le shutdown, allégorie de la résilience ou révélateur du numérique bullshit ?

Donald Trump, président des Etats-Unis

Shutdown, l’art d’aller à l’essentiel

Dans le contexte américain, le shutdown (fermeture) est une sorte de bug institutionnel qui paralyse la fonction publique faute de budget et de paiement des salaires. Un bug récurrent jamais corrigé, 17 shutdown aux USA depuis 1976, presque une tradition. Mais ce n’est pas une spécialité américaine, la paralysie de la fonction publique est une pratique courante dans de nombreux pays, notamment en Afrique et dans une moindre mesure, en France. En dehors du bug institutionnel, les causes d’arrêt partiel d’activité sont nombreuses: bug informatique (Canada, 2016), panne électrique (Gare Montparnasse, 2018), grève (AirFrance, 2018), intempérie (Aéroport Orly, tous les ans)…

Toutes les organisations et entreprises sont confrontées à des situations de shutdown, mais tenir 5 semaines, rares en sont capables. Les professionnels du risque et de l’assurance le savent bien, un shutdown ça fait pas rire et même si on s’y prépare, cela ne se passe jamais comme prévu.

La réaction primaire face à un shutdown, c’est la définition des priorités pour tenir le coup. L’organisation se concentre sur ce qui est essentiel pour survivre et met au chômage technique les « expendables », les activités qui ne sont pas critiques. On réquisitionne les bonnes compétences et les bonnes volontés pour activer les priorités. Le temps de réaction compte, une désorganisation se doit d’être traitée rapidement pour ne pas enfler. L’effet pervers d’un shutdown long, c’est qu’il agit comme un révélateur des processus et des tâches inutiles, des « bullshit jobs ». Rester 30 jours sans qu’on est besoin de vous, ça en dit long sur votre utilité.

Le Numérique n’est pas forcément un allié

Parmi les activités « Bullshit », le numérique n’est pas en reste. Le shutdown à l’américaine nous permets de constater que l’automatisation des tâches a des limites. Avoir des services en ligne ne sert à rien si on est incapable de livrer. Sans présence humaine, le numérique ne fait que acte de présence et tourne dans le vide, se transformant en aspirateur de dossiers non traités. Le shutdown est une belle démonstration d’une économie réelle où l’activité « Front-Desk » est l’essentielle, encore plus flagrante si le shutdown est dû à une panne informatique. La survie dépend de l’activité terrain et peu d’entreprises sont préparées à réagir sans informatique. Ce risque est souvent négligé et pourtant c’est un cauchemar de shutdown.D’après une récente enquête « Veeam-Alliancy », la dépendance au numérique devient un enjeu majeur pour les responsables informatiques., 77,5% ne peuvent tolérer plus de 4 heures d’arrêt. Que dire de 30 jours? « Impossible » est la réponse, tout est techniquement prévu. Sauf si le personnel informatique fait grève! Oui ça peut arriver.

L’humain est souvent considéré comme la faiblesse de la technologie mais en cas de shutdown, il se transforme en force. C’est la base de la résilience! Le numérique est donc une source de shutdown sans pour autant être une solution. Le comble de l’ironie est que pendant un arrêt d’activité il faut renforcer l’accueil téléphonique et qu’une fois résolu, il est nécessaire de faire appel à des ressources humaines supplémentaires pour résorber le retard engendré.

Résilience: entrainement et management

Peu d’organisations sont entrainées à faire face à un shutdown, à l’exception des organisations d’importances vitales (OIV) telles que les Hôpitaux, l’Armée et les Livreurs de pizzas. Même la SNCF propose de réactiver les réservations par téléphone et la présence aux guichets. Mais le shutdown de l’administration américaine se distingue par le fait qu’il soit à la fois temporaire, prévisible et habituel. Avec 17 shutdown ces 40 dernières années, l’administration est rompue à l’exercice. Même pas peur. En moyenne, tout les deux ans et demi et avec une amélioration continue au vue de la durée.

L’entrainement à une fermeture partielle d’activité est la première clé de réussite. Seules les organisations capables de tester régulièrement un shutdown seront en mesure d’y faire face. Les entreprises sont motivées par les compagnies d’assurances à tester leurs plans de continuité (dans l’hypothèse où ils existent). Exercices de panne informatique, de grève, d’incendie. L’entrainement est un gage de réaction efficiente mais plus le shutdown est réel, plus l’expérience sera renforcée. Simuler reste une vision très limitée de la réaction. C’est pourquoi la résilience humaine est l’atout majeur en cas d’un réel shutdown. C’est en situation réelle que s’active pleinement l’engagement et le rôle de chacun, en dehors de toutes procédures et de plans définis. La résilience est la deuxième clé de réussite. Mais elle est conditionnée au moral des troupes. Réquisitionner les personnes ou faire appel aux bonnes volontés n’est possible que si le management en est capable. L’aspect managérial est sous-estimé en cas de crise, pour rappel, la gestion catastrophique de la crise à AirFrance en 2018, où la résilience s’est exprimée au détriment du PDG.

Un shutdown mesure la solidité d’une organisation et la réponse est fondamentalement humaine. N’en déplaise aux technos-centrés qui ne jurent que par la technologie et la transformation digitale tout azimut, c’est en période de crise que l’on voit les coudes se serrer et certainement pas les ordinateurs.


Commenter

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *