L’externalisation du SI, une priorité en devenir

Par Marc Lafleuriel, Directeur d’Exploitation & Sécurité Cyrès

En quelques semaines, le constat est fait, dans le monde de l’entreprise et du secteur public, de l’urgence et de l’absolue nécessité de mieux s’armer, en sécurité informatique comme en réseaux. L’externalisation et la sécurisation du SI ont démontré leur efficacité pendant cette crise et ont su éviter aux entreprises les nombreux points de blocage auxquels d’autres se sont heurtés. En conséquence de quoi, les demandes d’audits du système d’information sont en augmentation.

Deux poids deux mesures dans la ressource informatique

La crise sanitaire a révélé les insuffisances technologiques des entreprises. Beaucoup de dirigeants ont dû faire face au manque d’équipement de leurs collaborateurs et à l’impréparation pour garantir la continuité de l’activité en télétravail. Bande passante, virtualisation, prise en main à distance et sécurité ont fait défaut, participant au ralentissement voire à l’arrêt total des affaires et au chômage partiel de millions de travailleurs.

Tout le monde n’est cependant pas logé à la même enseigne. Les entreprises qui avaient déjà externalisé leur système d’information ont pu très vite, c’est-à-dire dès le début de la crise, demander à leurs prestataires d’adapter les services et les performances en conséquence. Au demeurant, le recours massif aux technologies de travail à distance a aussi provoqué un goulot d’étranglement, que les plus gros Cloud Providers n’ont pu endiguer avec toute la célérité requise. À ce titre, les entreprises qui avaient opté pour des datacenters régionaux ont certainement mieux tiré leur épingle du jeu. Elles ont pu compter sur leur plan de continuité d’activité, lequel prévoit (par définition) des situations particulières, comme un éventuel télétravail généralisé. Cet exercice de réflexion préalable a permis à de nombreuses structures de disposer de la volumétrie suffisante en bande passante, indispensable à la poursuite des affaires. En outre, elles ont profité d’une connectivité performante, de celles que l’on conçoit spécifiquement pour les datacenters.

Incertitude et éveil des consciences

Mais qu’en est-il des entreprises et des établissements publics et para-publics dont l’effort de transformation numérique est encore insuffisant pour qu’ils s’adaptent rapidement ? Une part importante des secteurs marchands comme non marchands a porté longtemps des œillères, avançant avec la conviction erronée qu’une telle situation ne pourrait pas se produire, notamment en France. Cette crise, aussi dramatique soit-elle, pourra-t-elle provoquer un sursaut et contribuer à remédier au retard accumulé ?

Il y a d’abord les incertitudes d’un point de vue sanitaire. Les experts médicaux sont bien en peine de prédire une véritable stabilisation de l’épidémie. C’est pourquoi face à la crainte d’une seconde vague, les entreprises engagent dès maintenant les discussions utiles pour redimensionner leurs ressources et leurs infrastructures à l’aune de l’imprévisible.

Or le redimensionnement du système d’information suppose d’analyser l’ensemble de l’infrastructure existante et l’applicatif, spécifique comme générique. Il suppose d’évaluer les flux et d’en définir les moyens d’externalisation. Il suppose enfin de disposer d’une vue exhaustive de la data afin de la rendre disponible. Outre les équipements indispensables à prévoir comme les ordinateurs portables, relativement plus chers qu’un poste fixe et les solutions de travail à distance, il existe donc un large pan technique couvrant les besoins en bande passante et les réseaux à mettre en œuvre.

Prioriser et auditer

On comprend alors vite qu’il faudra prioriser les investissements et c’est en l’occurrence le choix que beaucoup font d’ores et déjà. Ainsi le matériel attendra les dates prévues de renouvellement, au bénéfice du plus urgent, c’est-à-dire la sécurité et les liens télécom. Beaucoup en ont fait l’expérience. Même les plus aguerris au télétravail ont connu quelques effrois en songeant aux menaces pesant sur le système, malmené par des connexions effectuées depuis des box peu, mal ou pas du tout sécurisées, voire depuis un wifi public.

Le secteur public n’a pas été épargné non plus. Des menaces sur les systèmes d’information hospitaliers ont pu à divers endroits se concrétiser. Les hôpitaux de Paris par exemple ont signalé des cyberattaques dans le courant du mois de mars, à peine quelques jours après le déclenchement du confinement.

Mais il n’est déjà plus temps pour les regrets. Les entreprises prennent à bras le corps la question de la sécurité informatique et l’éventualité d’une externalisation, à la fois pour les besoins pérennes de l’activité comme pour les situations plus exigeantes, en ressources ou en performance. En général, cela passera par un audit du SI dont l’objectif à terme sera un renforcement des salles serveurs, la mise en place de liens robustes et l’évolution vers une démarche d’externalisation.