De l’annonce des mauvaises nouvelles comme principe d’anticipation des crises

29/10/2014 - 2 min. de lecture

Cercle K2 neither approves or disapproves of the opinions expressed in the articles. Their authors are exclusively responsible for their content.

 

 

"Ne pas prévoir, c’est déjà gémir."  Léonard de Vinci

 

Les PME, et parfois les ETI, sont assez souvent peu averties des risques encourus au quotidien et liés à leur système informatique.

À cela plusieurs raisons :

  • parfois une moindre sensibilité du ou des dirigeants à la sécurité informatique, a fortiori quand ils sont d’une génération qui n’est pas familiarisée avec ces outils, même s’ils sont conscients de leur rôle essentiel au quotidien;
  • une disparité des équipements (serveurs parfois, terminaux informatiques le plus souvent) affectés à chaque salarié, à plus forte raison pour les terminaux mobiles;
  • une égale disparité/diversité des protections installées sur les terminaux (antivirus, pare-feu…);
  • l’usage de plus en plus répandu de terminaux personnels (syndrome BYOD : Bring Your Own Device) non ou peu sécurisés, tels les tablettes et smartphones.

L’entreprise ainsi « équipée » laisse des pans entiers de ses données sensibles accessibles à des tierces personnes mal intentionnées.

En cas de vols de données ou d’intrusion dans le système d’information, l’entreprise est démunie et n’a souvent pas de plan concerté permettant de contrer l’attaque et encore moins de gérer correctement la crise.

L’improvisation tient lieu de stratégie et les dégâts peuvent être conséquents, la rumeur prenant le pas sur l’information, entamant le capital de confiance des clients, partenaires et fournisseurs, dont les banques. Une perte d’exploitation est parfois la conséquence indirecte la plus préoccupante.

Pour parer à ce type de situation, il est essentiel d’avoir sous la main un plan de gestion de la crise.

On pourrait alors parler du rôle « d’annonciateur des mauvaises nouvelles ».

Il est nécessaire de définir les types de menaces, dont les pires, liées au système informatique en place et à ses défaillances possibles.

Un scenario des différentes situations de risque et des crises qui en résultent est nécessaire, permettant d’imaginer les actions correctives à engager d’urgence et à terme pour chaque situation pénalisante (type de message, information au personnel, aux actionnaires, aux fournisseurs, aux clients…).

L’optimisme est le pire ennemi d’une telle démarche, un pessimisme réaliste étant la bonne solution. Une cellule de crise doit être définie et prête à agir (animateur-coordonnateur de la cellule personnes-ressources, compétences attendues, responsabilités attribuées, lieu physique de réunion, toutes personnes joignables 24h/24) assortie d’une ressource externe suffisamment pointue en informatique, hard et soft compris.

Un conseil en communication peut être identifié et sollicité en cas de crise grave nécessitant des relations ponctuelles ou suivies avec les médias locaux ou nationaux (presse quotidienne régionale le plus souvent, TV régionale, voire nationale, sites internet de ces médias classiques).

La meilleure action préventive est de faire réaliser un audit de sécurité informatique par un cabinet spécialisé ou un par un spécialiste ayant de bonnes références dans ce domaine, un rapport d’audit détaillé et commenté oralement devant être exigé.

La seconde action consiste à souscrire une assurance professionnelle informatique.

Elle propose plusieurs types de garanties :

  • Protection des biens : l'assurance professionnelle informatique couvre les matériels informatiques et bureautiques, fixes ou portables, par la prise en charge des dommages causés ou le remplacement en cas de vol avec effraction.
  • Protection des données : l'assurance couvre la prise en charge des frais de traitement, de reconstitution ou de décontamination en cas de destruction ou d'altération des données informatiques suite à un sinistre.
  • Protection contre les pertes financières : l'assurance professionnelle informatique compense les pertes financières subies suite à un dommage sur le matériel ou les données, suite à l'indisponibilité d'un service en ligne (site web avec partie commerce en ligne par exemple), suite à l'absence (maladie ou accident) d'un salarié qui joue un rôle important dans votre fonctionnement informatique.

29/10/2014

Dernières publications