Grippe A/H1N1 : Les PME découvrent le PCA … et aggravent des vulnérabilités.

J.Triquell

Un plan de continuité (PCA) insuffisamment réfléchi peut aggraver des vulnérabilités … juridiques et techniques . . .

De nombreux PCA émergent, après des études le plus souvent lancées à la hâte par des dirigeants, semble-t-il  influencés par la communication très importante sur le sujet : battage médiatique , action d’information lancée par les structures de l’Etat et les groupements d’entreprises (le ministère du travail diffuse largement des plaquettes d’information aux entreprises) … 

Seules les PME, moins disponibles, moins  réceptives à la notion de risque externe, semblent encore manquer de réactivité et d’anticipation mais des précautions de bon sens  » sont déjà envisagées dans certaines d’entre elles :

  • Identification des personnes clés, des ressources humaines critiques, des processus métiers clés
  • Stock de masques
  • Nettoyage renforcé des locaux  et traitement des déchets.
  • Hygiène de base des personnels.
  • Serrages de mains proscrits
  • Suppression des réunions physiques
  • Veille active de l’évolution
  • Aménagement du temps de travail, télétravail et développement de la polyvalence des employés.
  • Exercices

Sur la vulnérabilité du système d’information et la notion de « périmètre de l’entreprise »…

La première volonté de l’entreprise est de diminuer la vulnérabilité de la structure face à la grippe A/H1N1. Cette bonne intention peut conduire  à ouvrir certaines brèches dans sa stratégie de sécurité du système d’information. 

La notion de  « périmètre de l’entreprise », au centre de toute étude de gestion des risques, prend ici toute son importance. En effet, plusieurs mesures judicieusement prévues, comme « l’absence de réunions physiques », le « développement du télétravail », vont notamment entraîner la mise en œuvre de connexions à l’intranet, externes au périmètre initial de l’entreprise.  Par ailleurs, les échanges informatisés avec les partenaires (sous-traitants, fournisseurs …) sont susceptibles d’augmenter, ainsi que la confidentialité des informations transmises qui, habituellement, transitaient par d’autres canaux (réunions ou contacts divers).

Le télétravail, l’augmentation de l’utilisation des réseaux numériques,  mesures fort justement envisagées dans le cadre d’un plan de continuité, devraient entraîner une véritable réflexion quant à la sécurisation des informations échangées.

L’utilisation de moyens nomades par des personnels peu ou pas habitués, impose la mise en œuvre d’une préparation … par la sensibilisation. Celle-ci ne peut se faire à la hâte, ni être négligée, le passé a démontré que le risque humain était  le plus difficile à « maîtriser ».

 Cette notion de « périmètre de l’entreprise » est jugée essentielle dans la norme 27005 relative à une gestion globale des risques :

Quel est le périmètre général de l’appréciation des risques ?  : les actifs primordiaux (processus métiers, les activités, l’information)

Quel est  le champ d’application ? : les actifs en support (matériel, logiciel, réseau, personnel, site, structure)

Cette approche participe naturellement à une véritable réflexion globale, préalable à la détermination des critères de sécurité, des besoins de sécurité par critère de sécurité à chaque actif, des impacts liés, des probabilités …

 Sur la vulnérabilité juridique …

Par ailleurs, une autre vulnérabilité, d’ordre juridique, est susceptible de donner naissance à des contentieux.

En cas de crise, le droit du travail continuerait à s’appliquer, notamment pour les plafonds horaires, pour l’aménagement du temps de travail et congés imposés (inspection du travail…), pour le télétravail  (négociation avec partenaires sociaux , accord de chaque salarié concerné)… 

la force majeure ne sera invoquée par l’entreprise qu’après avoir démontré que toutes les précautions ont bien été mises en place en amont…

Joseph Triquell – Août 2009

Publicités

Répondre

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l'aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s