Quelle information est-elle importante, critique ou stratégique?

Après avoir travaillé pendant 35 ans dans le monde ICT et ce pour le même employeur (ce qui est en soi aussi un exploit), j’ai été sollicité pour identifier et mettre en oeuvre un projet ayant pour but de mieux protéger le patrimoine informatif de l’entreprise.

Après avoir travaillé pendant 35 ans dans le monde ICT et ce pour le même employeur (ce qui est en soi aussi un exploit), j’ai été sollicité pour identifier et mettre en oeuvre un projet ayant pour but de mieux protéger le patrimoine informatif de l’entreprise.

Si je passe en revue l’évolution de l’IT, j’y distingue plusieurs phases. Durant la décennie dorée de l’IT, à savoir les années septante, le matériel était si coûteux que seule une fraction des données de l’entreprise étaient sauvées numériquement, et leur protection se limitait à une prière dans l’espoir que le lendemain, toutes ces données se trouvent encore sur le disque.

Les années quatre-vingts apportèrent un soulagement grâce à l’arrivée des bandes magnétiques et du contrôle des versions correspondant. Désormais, il existait une sauvegarde qui avait comme seul inconvénient l’obligation de réaliser une copie des données de l’entreprise par l’équipe de nuit. Toutes les données étaient stockées sur la bande magnétique sans aucune distinction. Mais ce n’était pas tout. Durant les années nonante, l’on introduisit bien vite un dédoublement de la possibilité de stockage et de la capacité de calcul. Mirror systems, backup et reprise après sinistre étaient alors les termes à la mode. L’on n’osait cependant pas mentionner de prix, parce que le coût qui allait de pair, ne s’inscrivait pas immédiatement dans un modèle ROI. L’arrivée des grands réseaux ne fit que compliquer la situation. Les mots de passe, pare-feu, chemins d’accès et autres fallbacks devinrent avec les systèmes de bases de données les mesures visant à protéger le patrimoine numérique de l’entreprise. Lorsque la percée du Personal Computer (PC) alourdit encore l’ensemble, ce fut le commencement de la fin… ‘Network Security and Data Protection was here to stay’, et la continuité des processus d’entreprise fut la première priorité.

Aujourd’hui, il existe de nouveaux paramètres dans la vaste arène IT. Et qu’y observe-t-on? Pratiquement toute l’information que nous gérons, utilisons, stockons, envoyons, lisons et traitons, a d’une manière ou d’une autre une forme numérique. Le stockage numérique est actuellement beaucoup moins coûteux et n’est certainement plus un facteur d’inhibition, qui nous empêchait de numériser l’information. Les processus d’entreprise numériques conjointement avec l’information digitale et la connaissance de l’individu constituent de nos jours la propriété intellectuelle de l’entreprise. Comment appréhendons-nous tout cela?

Nombre de départements IT possèdent en général une bonne stratégie de backup et un agencement et un contrôle de la sécurité bien structurés. Mais qui sait encore quelle information est importante, critique ou stratégique… et où et comment elle est stockée? Cela m’amène à une réflexion qui s’est imposée de plus en plus à moi ces dernières années et à laquelle j’éprouve de plus en plus de difficultés à répondre au fil du temps que je passe dans ce domaine. Récemment, l’on m’a ainsi demandé de développer le prototype d’un programme efficient en vue de mieux protéger le patrimoine informatif. Après analyse et classification des données, il m’est clairement apparu que le degré de protection technologique des données est inversement proportionnel à leur importance. Ce n’est absolument pas là une science exacte, mais un jugement basé sur des exemples parlants. Les départements d’informatique se sont efforcés des années durant à minimiser la menace provenant de l’extérieur et à prendre des mesures pour protéger le patrimoine numérique des attaques externes. Je vois néanmoins un plus grand danger en interne, un défi totalement nouveau à relever par nos informaticiens qui devront à l’avenir non seulement tourner leur regard vers l’extérieur, mais aussi et surtout assurer la protection interne des données.

Les nouvelles technologies comme le cryptage ou le device blocking et la discipline connexe constitueront une charge IT interne supplémentaire. Une conclusion encore plus importante est cependant que ces nouvelles technologies pourront s’avérer inefficaces en l’absence de toute collaboration avec d’autres disciplines internes, en particulier avec les départements Ressources Humaines, Audit et R&D. Seule une approche des risques analytique et fondée débouchant sur des mesures pratiques, organisationnelles et technologiques avec un champ de vision global aura une chance de succès. Cela demandera une mise en oeuvre large, ciblée, pragmatique et multidisciplinaire.

La frontière séparant les technologies professionnelles et domestiques s’estompe toujours davantage et engendrera, à mon avis, des défis, comme nous en avons connus lorsque les premiers PC sont arrivés sur le marché. Les téléphones actuels possèdent une capacité de stockage et une puissance de calcul qui représentent déjà un multiple exponentiel de celles des machines qui étaient opérationnelles dans les années septante. Je conclurai sur une note philosophique: ‘Chaque fois que je pensais avoir trouvé un ancrage dans l’arène IT, celle-ci changeait, de même que les joueurs et finalement le jeu proprement dit.’

Vic Geuens est Information Asset Manager chez Umicore et est aussi un membre actif du CIO Forum, le plus grand réseau en Belgique s’adressant aux CIO et dirigeants ICT. En collaboration avec divers CIO, le CIO Forum est activement occupé à fournir une contribution concrète aux tenants et aboutissants de la problématique de l’ICT et aux défis qui y sont liés.