Articles

FUSACQ : et le SI, il fusionne aussi ?

/0 Commentaires/dans , , /par

En chimie, à une ou deux exceptions près, un processus de fusion est endothermique. On consomme de l’énergie, pour donner plus de liberté à des molécules jusqu’alors sagement rangées dans leur état solide. Dans la vie des affaires, les attentes d’une fusion procèdent beaucoup plus d’une concentration, d’une unification, d’une massification, d’un espoir d’efficacité accrue.

Paradoxal. Pas tant que cela car de fait, l’observation physique d’une fusion de plusieurs corps donne l’impression de leur disparition, de leur concentration.

Le dessous des cartes, c’est qu’au sein même de ce nouvel état, « ça devient le bazar ». Nous éviterons toute allégorie « nucléaire » qui nous amènerait sur des terrains plus qu’incertains. Sur le plan économique, combien de fusions n’ont elles pas « oublié » les synergies promises ?

Lire la suite

Mes données critiques

/5 Commentaires/dans , /par

Critique, vous avez dit critique ?

Du latin criticus, issu du grec ancien ???t???? kritikos (« capable de discernement, de jugement ») apparenté à ???s?? crisis (« crise ») ; dérivé du verbe krinein (« séparer », « choisir », « décider » « passer au tamis »).

L’adjectif qualifie :

Quelque chose qui annonce ou a trait à une crise, quelque chose qui annonce un changement en bien ou en mal, quelque chose de nature analytique, apte à asseoir un jugement, enfin quelque chose d’essentiel ou de déterminant.

Des données critiques…

De ces quelques rappels étymologiques, il ressort  que les aspects « déterminant » et de « lien avec une crise » sont prépondérants.

Leur appréciation ressort essentiellement des « métiers » de l’Organisation concernée, et doivent faire l’objet d’un consensus d’Entreprise.

Pour y arriver, on utilise couramment deux outils, qui sont l’analyse de criticité d’une part et, d’autre part, l’analyse de risque.

L’analyse de criticité permet de déterminer les degrés d’importance relatifs des différents processus et des données qui leurs sont liées, en fonction de critères fixés à l’avance.

L’analyse de risque détaillée permet à la fois d’asseoir le diagnostic de criticité et aussi de décliner le propos en mettant en place les solutions et les tests susceptibles de répondre aux enjeux.

Quelle attitude doit adopter le DSI ?

                Face à cette question, le DSI doit assumer deux rôles :

  1. D’une part, assumer la propre criticité des processus dont il est en charge et vis-à-vis desquels il doit mettre en place toutes les mesures de prévention pour garantir globalement le Système d’Information (Logiciels et données) de ses Utilisateurs et Clients.
  2. D’autre part, appuyer méthodologiquement, puis dans la recherche et la mise en place de solutions, la démarche d’analyse de criticité et de risque mise en œuvre par l’Organisation.

Une démarche d’audit d’environnement permet précisément d’adresser ce sujet dans un contexte global de sûreté de fonctionnement.

 

               

La sécurité des Systèmes d’Information est-elle une illusion ?

/6 Commentaires/dans , /par

Sisyphe était-il un homme heureux ? La mythologie a oublié de rapporter qu’il était aussi chargé des Systèmes d’Information à l’époque de la Zeus Company. Il fut notamment le précurseur des RFID et autres foutaises, assurant la traçabilité de ses troupeaux et confondant ainsi l’infâme Autolycos qui les lui volait grâce au pouvoir que lui avait donné Hermès. Sans nul doute, il fut aussi poursuivi par les pensées harassantes d’un Système d’Information suffisamment pour garder secrets les écarts de conduite du Père Zeus lui-même…

 

Sécurité des Systèmes d’Information… Une utopie ?

Quelques éléments :

  • On se préoccupe uniquement de la sécurité que de ce à quoi l’on tient. L’information n’est importante qu’en fonction de l’usage que l’on peut en faire. Elle devient alors plus ou moins confidentielle, son intégrité (assurance que la donnée n’a pas été modifiée sans autorisation et sans légitimité) plus ou moins importante, et la nécessité de sa disponibilité plus ou  moins critique.
  • Lorsque l’on parle de « Système d’Information » on sous-entend un ensemble de règles et de relations qui donnent du sens. La complexité s’invite alors, ainsi que ses failles. Nous voici dans le domaine de la gestion des risques.

 

Ceci étant posé, la sécurité des Systèmes d’Information repose sur quelques notions essentielles :

  • S’assurer que l’interlocuteur est le bon : Identifier le poste de travail, puis authentifier la personne qui est derrière.
  • Contrôler les accès : Ne donner à cet interlocuteur que les droits que son statut lui confère.
  • Impliquer de  manière indiscutable l’interlocuteur dans la relation qu’il crée avec le Système d’Information. Connue sous l’appellation non répudiation, c’est la trace indélébile que l’usager a bien fait la transaction qui lui est attribuée. Il ne peut ainsi plus s’en dédire.
  • Consigner une trace lisible de tous ces éléments.

 

La conformité d’un Système s’analyse alors au moyen d’audits qui vérifient point par point le respect des notions et principes évoqués ci dessus.

Il n’en reste pas moins vrai que les libertés individuelles doivent rester protégées. Les moyens mis en œuvre, dans des contextes à définir au cas par cas, sont d’abord :

 

  • le droit à l’anonymat, le recours aux pseudonymes.
  • L’impossibilité structurelle de relier entre elles les transactions réalisées à des dates différentes par un même utilisateur sur des Systèmes d’Information différents.
  • L’impossibilité, sauf pour l’administrateur d’un Système, d’observer la réalisation en cours d’une opération.

 

Le sujet est donc large, complexe, et de nature foncièrement instable, spécialement pour le Responsable Informatique ou le Directeur des Systèmes d’Information. L’analyse et la maîtrise de sa dérive passent alors par la mise en place d’une politique de sécurité, et de tableaux de bord adéquats.

L’application de la politique de sécurité relève enfin :

  • D’un travail de prévention.
  • D’une veille permanente permettant de détecter au plus tôt les défaillances.
  • D’une réaction rapide et pragmatique faisant l’objet d’un retour d’expérience et d’une capitalisation du savoir.

Utopie non, souci quotidien oui… Brave Sisyphe !!!

 

Du Directeur informatique au Directeur des Systèmes d’information ?

/3 Commentaires/dans /par

Un peu d’histoire La fonction de Directeur Informatique a été créée dans les années 1980. Leur objectif : gérer toutes les problématiques liées à l’informatique dans les entreprises. En résumé, leur principale mission était de munir les entreprises du meilleur matériel informatique possible et de le maintenir. La première génération de Directeurs Informatiques a donc […]

Lire la suite

Référence DSI ouvre son blog

/0 Commentaires/dans /par

Référence DSI ouvre son blog afin de permettre aux Petites et Moyennes Entreprises, de développer des sujets de discussions concernant la Direction des Systèmes d’Information (plus communément appelée Direction Informatique):

– La Criticité de la Sauvegarde de l’Information

– Le développement des Entreprise Ressources Planning (ERP) dans les petites structures d’entreprises

– L’uniformisation des politiques informatiques concernant le matériel et les logiciels

– L’accompagnement au développement de l’entreprise

– La mise à disposition d’une informatique performance au service du Business de l’entreprise

Venez participer sur notre Blog afin de développer ces sujets cruciaux de la petite entreprise et permettre de développer de nombreux axes de réflexions pour le développement des Petites et Moyennes Entreprises en France.