Trois conseils aux chefs d’entreprise

Jeudi 20 février 2025, par Jean-Philippe Gaulier

L’informatique n’est pas considérée en tant que telle. C’est en tous cas ce que dirait Sir Perceval au roi Arthur dans Kaamelott d’Astier. En effet, si les trois premières révolutions industrielles sont analysées du point de vue de leur apport à la civilisation, comment ignorer que depuis les années 50 et en moins de 70 ans, l’informatique a bouleversé nos vies. Il n’y a plus vraiment moyen d’y échapper et encore moins dans la vie professionnelle. Les clés sont rendues obsolètes par les badges qui permettent l’authentification et le contrôle à la personne, le traitement des paies est inenvisageable en traitement manuel et la facture électronique française, initialement prévue en 2024 et repoussée en 2026 rend l’outil indispensable. On pourrait remplir une longue page des incontournables de la matière, mais il est vraisemblable que cette liste à la Prévert serait encore trop courte pour relater la réalité de l’attachement de l’informatique à notre mode de vie. En effet, tout ou presque est information et quoi de mieux qu’un système d’information, porté par l’informatique, pour traiter ce flux constant ? La mise en réseau mondiale, entendez Internet, au début des années 2000 pour la France, est venue renforcer cette réalité. Cependant, encore aujourd’hui, de nombreux entrepreneurs et dirigeants considèrent l’informatique comme un outil de type marteau ou tournevis et non pas comme un organisme vivant qui doit être entretenu, encore moins comme colonne vertébrale de l’entreprise. C’est une erreur grave. Majeure !

Pourquoi est-ce que je dépends de l’informatique ?

C’est une bonne et saine question. S’il est impossible de répondre facilement par le biais d’un argumentaire construit, il semble cependant aisé de répondre par une autre question : combien de temps votre entreprise peut-elle survivre si j’arrête maintenant l’intégralité de votre informatique ? Et si vous vous interrogez sur pourquoi vous feriez quelque chose d’aussi stupide, voici quelques exemples pour vous éclairer : compromission de votre système d’information par un rançongiciel, incendie de vos locaux, dégât des eaux, vol de vos ordinateurs, corruption des données, crash en série de disques durs, piratage de votre site de vente… L’appréciation du risque, qui est la matière qui permet d’envisager des scénarios pouvant vous impacter, ne manque pas de littérature à ce sujet et permet de s’interroger sur les suites à donner lorsque ces scénarios arriveront. Certes, pas tous en même temps, espérons-le, mais au moins l’un d’entre eux, c’est sûr. Et sans informatique, l’entreprise s’arrête. Plus personne n’a de scénario « papier, crayon » et n’est en mesure de l’envisager. L’électricité et l’informatique sont les deux biens indispensables à l’entreprise, tout comme l’eau et la nourriture le sont pour le corps humain.

Et moi, je fais quoi ?

Maintenant que nous avons établi ces faits, que peut-on faire pour éviter d’en arriver à de tels écueils ? Cette question simple ne saura trouver une réponse complète dans cet article, mais on peut néanmoins dégager quelques pistes de réflexion pour te guider, cher lecteur. Voici les trois points que nous avons retenus.

La sauvegarde, lorsqu’elle est bien faite (avec du beurre [salé] dedans), est la seule véritable réponse face aux rançongiciels ; sitôt piraté, sitôt restauré. Vision raccourcie à son maximum, mais qui devrait vous garantir un peu plus de sérénité. Le seul problème, c’est que la sauvegarde, c’est un art, comme la cuisine : trois copies actives, dont une distante et une locale, et l’une des deux au moins sur un support physique, si possible déconnecté. Saupoudrez le tout de chiffrement des données et d’immuabilité et vous commencerez à avoir quelque chose d’appétissant. N’oubliez pas, cependant, sans test, la sauvegarde est totalement inutile. En effet, il peut se passer tout et n’importe quoi au moment de la copie de vos données et même un rapport positif de sauvegarde ne saurait vous assurer de la viabilité de celles-ci. Alors on sauvegarde quotidiennement et on teste de manière aléatoire au moins une fois tous les trois mois et tout ira pour le mieux.

Attention de ne pas mettre tous vœux œufs dans le même panier. Si votre fournisseur de solution cloud vous garantit, juré, craché, qu’il s’occupe de tout, prévoyez vous-même de faire une copie supplémentaire régulière, on ne sait jamais !

Si la sauvegarde est l’assurance de pouvoir redémarrer votre système d’information en cas d’attaque, les mises à jour vous garantissent d’empêcher le pirate de pouvoir entrer en premier lieu. Actuellement, entre le moment où une faille de sécurité sur un logiciel est découverte et où son exploitation active est constatée, on dépasse rarement les 72h. Alors si vous effectuez les mises à jour une fois par mois et que vous vous estimez bon élève, espérons que les pirates ne vous trouvent pas avant la prochaine mise à jour. Et bien sûr, on ne parle pas uniquement des mises à jour Microsoft Windows, mais évidemment tous les produits tiers : Google Chrome, Mozilla Firefox, Acrobat Reader, 7zip, etc. Profitons-en pour rappeler que les produits Apple seraient par design beaucoup plus sécurisés relèvent uniquement de la légende urbaine et du brillant marketing.

La différence entre un bon et un mauvais patcheur ? Il fait la mise à jour dès qu’il en voit une !

Ah oui, le sacro-saint mot de passe. Difficile de ne pas l’évoquer. Nous pourrions en parler tel la CNIL empreinte de poésie et afficher une exigence basse de 80 bits d’entropie pour chaque mot de passe émis. Non, on restera sur des règles simples et claires : mots de passe de 13 caractères minimums avec chiffres, lettres et caractères spéciaux et 20 caractères minimum pour les administrateurs. Bien sûr, un mot de passe n’est utilisable que sur un service. Pour un autre service, on utilisera un autre mot de passe. Et parce que notre petite tête n’est pas faite pour retenir tout cela, on utilisera obligatoirement un gestionnaire de mots de passe d’entreprise, de préférence non exposé sur Internet. C’est pratique, c’est pas (trop) cher et ça peut rapporter gros !

Et comme disait l’ami Steve Jobs, one more thing…

L’automédication, ça a du bon, mais une fois passées les recettes de grand-mère, le temps, c’est de l’argent. Et si l’informatique, et plus particulièrement la cybersécurité, n’est pas votre métier, il serait hasardeux de vouloir tout assumer. Si la pandémie vous a appris à préparer votre pain, il n’est pas certain que vous soyez devenu boulanger pour autant. Ce constat est transposable dans le monde ô combien compliqué du numérique. Il n’est pas possible de jouer les apprentis sorciers ou de poser un billet sur la table pour être déchargé du problème à tout jamais. Non, là c’est du durable. Du coup, investissez maintenant, vous nous remercierez plus tard. Si la sagesse populaire dit qu’il vaut mieux être seul que mal accompagné, on dit également qu’il n’y a que les imbéciles qui ne changent pas d’avis !