Voilà une mésaventure – certes survenue loin de l'Europe et dans des circonstances spécifiques – qui illustre tout de même les risques encourus par les entreprises internationales qui dépendent très fortement de services fournis par des acteurs, en l'occurrence américains, soumis à des contraintes qui peuvent devenir arbitraires.
La victime de l'affaire est une société indienne, Nayara Energy, récemment placée dans la liste des sanctions de l'Union Européenne en raison de ses liens directs avec la Russie. Sur la foi de cette désignation, l'éditeur lui a purement et simplement verrouillé du jour au lendemain l'accès à ses applications de productivité et de collaboration, critiques pour le fonctionnement de nombreuses organisations, sans aucune information préalable et en dépit de licences régulièrement acquises et dûment payées.
Les dirigeants de Nayara ont immédiatement engagé un recours judiciaire et, apparemment, Microsoft est maintenant revenue en arrière et a finalement rétabli les connexions. Quoi qu'il en soit, cette anecdote illustre comment une décision intempestive plus ou moins justifiée – et la conjoncture politique actuelle nous offre quotidiennement l'occasion de craindre un événement de ce genre – peut soudainement paralyser une firme qui exploite des outils d'origines diverses sans y réfléchir.
Dans le cas d'espèce, ce sont toutes les communications des collaborateurs, entre eux et avec leurs clients et partenaires, qui disparaissent de la sorte. Pour des structures qui recourent aux infrastructures infonuagiques des géants technologiques, l'impact pourrait également s'étendre aux logiciels et aux données opérationnels, jusqu'à, potentiellement, effacer toute la mémoire de l'entreprise. Imaginez, par exemple, une banque qui n'aurait plus aucun contrôle sur les comptes de ses clients !
Encore une fois, nous n'en sommes (heureusement) pas encore à devoir s'inquiéter de tels blocages affectant des grands groupes respectables. Mais les lubies de certain chef d'état peuvent facilement créer des situations dans lesquelles la menace prendrait forme plus concrète. Or l'absence de parade dans les plans de résilience des institutions financières vis-à-vis de l'emprise de quelques fournisseurs impose, du fait des conséquences graves d'un incident, de prendre en compte ce risque, même faible.
La réglementation DORA, entrée en vigueur au début de l'année, requiert une vigilance particulière sur ces dangers. Mais, au-delà de ses exigences, il faut peut-être commencer aussi à imaginer des plans de remédiation pour les crises improbables mais pas totalement impossibles, dont l'exécution sera probablement très lourde.
Aucun commentaire:
Enregistrer un commentaire
Afin de lutter contre le spam, les commentaires ne sont ouverts qu'aux personnes identifiées et sont soumis à modération (je suis sincèrement désolé pour le désagrément causé…)