PCA PRA : Identifier les différents types de menaces

Dans les articles précédents, nous avons vu comment mesurer l’impact d’une interruption ou d’un fonctionnement dégradé d’un système d’information sur l’activité. Une fois cet impact identifié, une question essentielle se pose : quels sont les risques que cet incident survienne ?

Il est temps d’attaquer la liste des menaces !

Par menace, on entend tout événement susceptible de provoquer une panne, un incident, une perte de données, un arrêt total ou partiel de l’activité. Ces événements peuvent être internes ou externes, humains, techniques ou naturels. L’objectif d’un PCA PRA informatique n’est pas d’éliminer tous les risques (ce qui est impossible), mais d’identifier les menaces les plus probables pour votre entreprise afin de préparer les solutions de continuité et de reprise adaptées si elles surviennent. Cette analyse conditionne directement la définition des RTO, RPO, des procédures de reprise, des besoins en sauvegarde, et l’organisation des équipes opérationnelles en situation de crise.

Voyons ensemble une liste non exhaustive mais déjà bien complète des menaces que vous devez envisager.

🫢 La menace humaine

Erreurs et négligences humaines

En informatique, une formule bien connue résume souvent la situation : le problème se situe entre la chaise et le clavier.

Volontairement ou non, l’humain est à l’origine d’une part significative des incidents affectant les systèmes et les données d’une entreprise :

• Mauvaise manipulation d’équipements entraînant des dommages matériels
• Suppression accidentelle de fichiers, de bases de données ou de configurations critiques
• négligences dans la maintenance des équipements (maintenances mal préparées ou pas assez régulières)
• Utilisation de mots de passe faibles ou partagés
• Mauvaise gestion des droits et des accès
• Perte ou vol d’appareils professionnels
• Introduction involontaire de logiciels malveillants (phishing, supports USB inconnus, Shadow IT)

Actes malveillants internes

Toutes ces situations sont le plus souvent accidentelles, mais elles peuvent aussi être volontaires ! Un collaborateur mécontent, en conflit ou en situation de départ peut chercher à nuire :

• Sabotage de systèmes

• Vol ou destruction de donnée

• Fuite d’informations sensibles

Même si ces cas restent minoritaires, ils doivent être pris en compte dans l’analyse des risques, notamment sur les systèmes critiques. A noter qu’une bonne politique d’offboarding constitue le premier barrage à ces menaces.

Dépendance aux compétences clés

Un autre point souvent négligé concerne l’organisation et la répartition des compétences. Confier la gestion tout ou une partie essentielle du SI à une seule personne représente un risque majeur. En cas d’indisponibilité, de départ ou de crise, l’entreprise peut se retrouver sans les compétences nécessaires pour assurer la continuité opérationnelle.

Et la loi de Murphy étant ce qu’elle est, c’est toujours à ce moment là qu’un problème arrivera sur votre infrastructure. La redondance, ça se pense aussi côté salariés 😉

🏴‍☠️ Les menaces externes

Cybermenaces

Les cybermenaces sont souvent LA menace à laquelle on pense lorsqu’on évoque un PCA PRA informatique. Ransomwares, malwares, attaques DDoS, intrusions, espionnage, usurpation d’identité… les cas sont nombreux. En réalité, ces attaque ne sont pas des menaces en elles-mêmes, mais la conséquence de comportements négligents et/ou à risque : perte ou vol d’un appareil, navigation sur des sites dangereux, utilisation de supports inconnus infectés, Shadow IT, clic sur un phishing, mauvaise gestion des accès, absence de mise à jour… Ce sont ces pratiques sur lesquelles vous devez identifier et prévenir (interdictions, maj automatiques, sensibilisation, etc).

Toutefois, votre type d’activité et à quel point votre entreprise est connue influent fortement la probabilité de certaines attaques. Par exemple, une entreprise de technologie de pointe est plus à même d’être ciblée par des tentatives d’espionnage qu’un média, mais ce dernier est plus susceptible de subir une attaque DDoS.

Les tiers, souvent négligés

Lors de la réalisation d’un plan de continuité ou de reprise, on a tendance à se focaliser sur les systèmes internes et les cybermenaces. Mais dans un plan de continuité, il est impossible de se limiter aux systèmes internes. L’activité de l’entreprise dépend souvent fortement de tiers :

• Fournisseurs d’énergie, d’eau, de transport, de télécommunications ou de connectivité

• Prestataires IT (hébergement, infogérance, services cloud, sécurité)

• Éditeurs de logiciels métiers, CRM, ERP, SIRH

• Constructeurs matériels et fournisseurs de pièces détachées

• Prestataires logistiques ou de supply chain

Une panne majeure, une indisponibilité prolongée, une cyberattaque chez un prestataire ou une rupture de service peuvent ainsi avoir un impact immédiat sur la continuité d’activité, voire rendre impossible toute reprise tant que le tiers n’est pas rétabli. Et contrairement aux incidents internes, l’entreprise dispose ici de peu ou pas de leviers immédiats : vous subirez la situation sans pouvoir intervenir directement sur la résolution du problème. Il est donc d’autant plus important de les avoir anticipé pour pallier au mieux à la situation.

Beaucoup d’entreprise prévoient les incidents techniques, mais peu les scénarios liés au cycle de vie des relations contractuelles :

• Fin de contrat sans solution de transition

• Résiliation anticipée

• Hausse tarifaire rendant la solution inadaptée

• Rachat d’un éditeur entraînant un changement stratégique

• Dégradation du niveau de service

• Faillite ou cessation d’activité du prestataire

Ces situations sont rarement soudaines d’un point de vue juridique, mais leurs conséquences opérationnelles peuvent être lourdes si aucune alternative n’a été prévue. La disparition d’un prestataire fournissant un service critique peut bloquer totalement l’activité, en particulier lorsqu’il n’existe ni solution de secours, ni compétence interne pour reprendre la main. C’est ici que vont intervenir des notions clés telles que RTO, RPO, clauses de réversibilité, SLA ou modalités de récupération que nous verrons plus tard. Vous pouvez déjà vous avancer avec ce guide pour choisir une solution Cloud qui les aborde en profondeur.

Au-delà des contrats, la fin de vie des matériels et logiciels constitue une menace structurelle. Lorsqu’un éditeur ou un constructeur annonce l’arrêt du support d’une solution, cela entraîne :

• L’absence de correctifs de sécurité

• Une augmentation du risque de panne

• Des incompatibilités avec les systèmes existants ou futurs

Sans anticipation, vous pouvez vous retrouver dans une situation où une solution critique devient inutilisable du jour au lendemain, rendant la reprise d’activité complexe, voire impossible dans les délais définis par les objectifs RTO et RPO.

Cadre réglementaire et géopolitique

Dernier tiers, mais pas des moindres : les États. Les menaces réglementaires et géopolitiques sont souvent perçues comme abstraites ou éloignées des préoccupations opérationnelles.

Contrairement aux incidents techniques, ces menaces ne se manifestent pas par un dysfonctionnement immédiat des systèmes, mais par une perte de conformité, une interdiction d’usage, ou une impossibilité légale ou contractuelle d’exploiter certaines technologies. Dans un contexte de PCA PRA, cela peut conduire à une interruption forcée de l’activité, même si l’infrastructure est techniquement fonctionnelle.

Les changement de réglementation imposent de plus en plus des obligations fortes en matière de traitement et protection des données, sécurité des SI et souveraineté, sous peine de sanctions financières, juridiques et/ou perte de part de marché (NIS 2, RGPD, DORA, etc.).

Le contexte géopolitique influence quant à lui directement la disponibilité des ressources nécessaires au fonctionnement des systèmes :

• Pénuries de composants matériels

• Allongement des délais de livraison

• Ruptures de support ou de maintenance

• Restrictions commerciales ou sanctions internationales (ex: le cas Kaspersky, qui s’est même vu retiré de la commande publique en France)

Vous pouvez alors vous retrouver dans l’incapacité de remplacer un équipement défaillant, de renouveler une infrastructure ou d’assurer la maintenance d’un système critique.

Bien sûr, vous ne pouvez pas prédire l’évolution des lois ou de la géopolitique. Mais l’objectif ici va plutôt être de réduire les dépendances, et augmenter la capacité d’adaptation, au moins sur vos technologies critiques.

💽 Les menaces propres à l’infrastructures

Défaillances

Tout système informatique est soumis à l’usure, aux défauts de conception et aux erreurs de configuration. Les menaces les plus courantes incluent :

• Panne matérielle (serveurs, stockage, équipements réseau)

• Dysfonctionnement logiciel ou bug critique

• Vulnérabilités non corrigées ou zero-day

• Dépassement de capacité (stockage, licences, ressources CPU ou mémoire)

• Incompatibilités entre systèmes suite à des mises à jour mal maîtrisées

N’oubliez pas non plus les équipements dit « orphelins » ! Plus utilisés mais toujours connectés au réseau et non maintenu (pas de mises à jour, pas de supervision), ils constituent à la fois une menace pour la sécurité et un point de fragilité technique.

Environnement

L’environnement dans lequel sont hébergés les équipements influence directement leur fiabilité. Incendies, dégâts des eaux, effondrement de bâtiments ou infiltrations peuvent détruire ou rendre inaccessibles des systèmes entiers. Ils dépendent également directement de services supports essentiels :

• Alimentation électrique

• Climatisation et contrôle thermique

• Réseaux de télécommunication

• Accès physiques aux locaux

Une panne électrique prolongée, une défaillance de la climatisation ou une coupure télécom peut rendre les systèmes inutilisables, même s’ils sont techniquement intacts. Ces scénarios devront être intégrés dans le plan de continuité, avec des mesures de redondance adaptées au niveau de criticité de l’activité.

Si les équipements sont sur des sites industriels, des facteurs aggravants sont également à prendre en compte. Des éléments tels que la poussière, les vibrations, la corrosion, ou encore les rayonnements (électromagnétiques / thermiques) peuvent significativement augmenter le risque de panne / dégradation.

🔥Les menaces naturelles, souvent sous-estimées

Elles sont la plupart du temps perçues comme improbables, voire anecdotiques. Pourtant, la France est le pays européen qui recense le plus de catastrophes naturelles. Ces dernières ont des impacts immédiats et parfois dévastateurs sur votre activité : inaccessibilités aux sites et à l’infrastructure, destruction de vos locaux et/ou ceux de vos prestataires, destructions des réseaux et canalisations. Et les conséquences qui suivent : perte de matériel, de données, de connexion, d’accès aux infrastructures…

Il est difficile d’anticiper ce genre de situation, mais vous pouvez vous appuyer sur cette carte interactive du gouvernement qui recense toutes les menaces probables autour d’une adresse données.

Inondations

Les inondations constituent le 1er risque naturel en France, et elles ne touchent pas uniquement les zones côtières, bien au contraire. Avec l’augmentations des phénomènes climatiques extrêmes, on compte chaque année de nombreuses inondations liées à des débordements de cours d’eau, remontées de nappes phréatiques et saturations des réseaux d’évacuation en ville. Plus rare, mais dévastateur, la rupture d’un barrage peut aussi en être la cause. On en compte plus de 2500 en France, il n’est pas impossible qu’un de vos site soit en aval de l’un d’entre eux.

Dans les zones littorales, aux inondations s’ajoutent également les risques de tsunamis, qui bien que plus rares en France hexagonale, ont déjà causés d’importants dégâts.

Incendies

Chaque année, on compte entre 3000 et 4500 feux de forêts. Avec les changements climatiques, les sécheresses et canicules se font plus nombreuses, plus intenses et plus longues. En conséquences, les périodes à risque ont été prolongées, de plus en plus de régions autrefois épargnées sont touchées par ces phénomènes.

Mouvements de terrain

Les mouvements de terrains peuvent avoir de nombreuses origines : glissements de terrain, effondrement de cavités souterraines, éboulements, coulées de boues, séismes, érosion côtière… Les plus dangereux sont les mouvements rapides et violents qui entrainent d’important dégâts matériels. Leur fréquence dépend de la nature du sol (argileux, calcaire…), de la configuration géologique, mais également de la météo. Encore une fois, l’augmentation des phénomènes météorologiques intenses (chauds et froids exceptionnels) participe à l’amplification des risques.

Tempêtes et cyclones

Et en parlant météo, il faut évidemment aborder les tempêtes. Vents violents et pluies diluviennes endommagent les routes, les bâtiments, impactent les réseaux d’eau, d’électricité et de communication et entravent la circulation. Avec des vents extrêmes et d’importants dégâts, les cyclones concernent majoritairement les territoires d’outre-mer. Toutefois, ils font partie des menaces en Hexagone également, comme l’actualité récente a pu le montrer.

Et en pratique ?

Un simple tableau Excel peut suffire pour regrouper et classer ces menaces par catégories. N’hésitez pas à voir trop large et rajouter des menaces même si elles vous semblent totalement improbables. Mieux vaut imaginer trop que pas assez. Et une fois cette liste établie, nous allons pouvoir attaquer le vrai travail : estimer le risque que chaque menace représente, en évaluant son impact et sa probabilité pour hiérarchiser les mesures à mettre en place.

 ⏮️ Retournez au 1er article de la série

 ◀️Retrouvez ici le 4ème article de cette série sur l’impact d’une panne IT sur les processus métiers.

Retrouvez ici le 6ème article de cette série sur l’évaluation impact et probabilité des menaces.