Mes données critiques

Critique, vous avez dit critique ?

Du latin criticus, issu du grec ancien ???t???? kritikos (« capable de discernement, de jugement ») apparenté à ???s?? crisis (« crise ») ; dérivé du verbe krinein (« séparer », « choisir », « décider » « passer au tamis »).

L’adjectif qualifie :

Quelque chose qui annonce ou a trait à une crise, quelque chose qui annonce un changement en bien ou en mal, quelque chose de nature analytique, apte à asseoir un jugement, enfin quelque chose d’essentiel ou de déterminant.

Des données critiques…

De ces quelques rappels étymologiques, il ressort  que les aspects « déterminant » et de « lien avec une crise » sont prépondérants.

Leur appréciation ressort essentiellement des « métiers » de l’Organisation concernée, et doivent faire l’objet d’un consensus d’Entreprise.

Pour y arriver, on utilise couramment deux outils, qui sont l’analyse de criticité d’une part et, d’autre part, l’analyse de risque.

L’analyse de criticité permet de déterminer les degrés d’importance relatifs des différents processus et des données qui leurs sont liées, en fonction de critères fixés à l’avance.

L’analyse de risque détaillée permet à la fois d’asseoir le diagnostic de criticité et aussi de décliner le propos en mettant en place les solutions et les tests susceptibles de répondre aux enjeux.

Quelle attitude doit adopter le DSI ?

                Face à cette question, le DSI doit assumer deux rôles :

  1. D’une part, assumer la propre criticité des processus dont il est en charge et vis-à-vis desquels il doit mettre en place toutes les mesures de prévention pour garantir globalement le Système d’Information (Logiciels et données) de ses Utilisateurs et Clients.
  2. D’autre part, appuyer méthodologiquement, puis dans la recherche et la mise en place de solutions, la démarche d’analyse de criticité et de risque mise en œuvre par l’Organisation.

Une démarche d’audit d’environnement permet précisément d’adresser ce sujet dans un contexte global de sûreté de fonctionnement.

 

               

5 réponses
  1. Jean-Christophe DURAND
    Jean-Christophe DURAND dit :

    l »existence de données critiques dans l’entreprise est connue par tout DSI qui se respecte, les solutions existent et s’il ne les connait pas il est aisé de trouver des solutions,
    Une autre difficulté pour le DSI réside dans la prise de conscience collective et à tous les niveaux des risques liés aux comportements des utilisateurs. Les mesures ainsi prises doivent survivre dans la durée.

    Répondre
  2. Daniel GILARDIN
    Daniel GILARDIN dit :

    Le « bon » DSI doit avoir à minima une bonne connaissance des processus / logiciels et données critiques de l’entreprise, du fait de sa transversalité sur les métiers et la stratégie de l’entreprise.
    Autant que faire se peut, il doit référencer les points sensibles de son S.I. ou ceux que l’organisation et son évolution peuvent générer … et bien entendu trouver les solutions ou les contournements adéquats. Il ne doit pas attendre le pépin pour réagir.
    C’est une démarche récurrente.
    On le sait tous : un nouveau projet, style Extranet ou VPN ouvert avec des prestataires … et la donne doit être reconsidérée en terme de sécurité, d’accès aux données, de confidentialité de l’ensemble du S.I.
    Mais il est vrai qu’en asseyant cette démarche de recherche des risques par une méthodologie, via un audit d’environnement, le DSI contribuera à repérer formellement les aspects critiques et les points de surveillance.
    La vertu d’une telle démarche, c’est aussi de mettre le doigt sur des zones sensibles, sous estimées jusqu’alors ou tellement visibles … qu’on ne les voit plus.
    C’est l’histoire de la prise électrique dont les fils sont apparents et que l’on se promet tous les jours de réparer … jusqu’à ce qu’un court-circuit et un incendie règle définitivement le problème.
    Faisons tout pour ne pas avoir à prononcer le « Si j’avais su … »

    Répondre
  3. Benoît Lacresse
    Benoît Lacresse dit :

    L’analyse des données critiques pour l’entreprise nécessite une étude minutieuse qui rentre dans les détails.

    Ainsi de l’exemple d’une entreprise ayant mis en place un plan de continuité d’activité, mais qui a oublié de mettre à jour les coordonnées téléphoniques de certains de ses intervenants clés.

    Dans cet exemple, la mise en évidence des données critiques doit permettre de mettre en place un processus d’actualisation régulier.

    Répondre
  4. Thibault CORNUDET
    Thibault CORNUDET dit :

    l’information numérique est devenue un enjeu vital pour l’entreprise … l’évaluation de la criticité de ses données est donc un enjeu majeur… La prise de conscience sur ce sujet n’est pas toujours aisée et le ROI n’est pas toujours évident à court terme… Aujourd’hui de nombreuses solutions permettent toutefois sur certains aspects d’yu palier à des tarifs très très abordables…

    Répondre
  5. Dessolin-Baumann
    Dessolin-Baumann dit :

    Bonjour, une autre démarche structurée et normalisée depuis 2001 est celle du records management ou « gestion des documents d’activité » avec les normes ISO15489 (records management), ISO 26122 (analyse des processus en records management) , ISO 30300 et ISO30301 (systèmes de gestion des dcouments d’activité), intéropérables avec les normes de management ISO9000, ISO20000, ISO31000, ISO14000. Pour en savoir plus, rendez vous notamment à la Commission de Normalisation CN11 de l’AFNOR http://www2.afnor.org/espace_normalisation/structure.aspx?commid=3175 et sur le groupe linkedin Communauté Records Management de l’AAF http://www.linkedin.com/groups?gid=4344984&trk=hb_side_g

    Répondre

Répondre

Se joindre à la discussion ?
Vous êtes libre de contribuer !

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *