Les RSSI du monde bancaire à l'aube d'une vague de démissions ?

Il semble que les enseignements des évènements survenus ces dernières années dans le monde bancaire français n'aient pas eu l'effet de prise de conscience escompté. L'incendie du Crédit Lyonnais en est la parfaite illustration. A cette occasion, on a pu voir se multiplier les énergies autour des concepts de PCA, c'est-à-dire de reprise d'activités des métiers critiques à travers les divers moyens techniques ou humains.

Il serait aisé de croire que les grands établissements bancaires ou industriels, sensibles à la problématique de la perte de données allait réagir fortement. Leur réponse pourrait, devrait, passer par l'identification des données critiques en demandant aux métiers de statuer sur la priorités des applications et informations à remettre en route en cas de désastre.

Que nenni, les DSI réactives et bien pensantes se sont empressées de répondre (à la place des métiers !) par le très convenu "tout va bien, tout est sous contrôle... dormez en paix"

La pression des règlementations de type SOX (qui mesure entre autre les capacités de reprise des grands établissements, ce qui permet au marché de valoriser la solidité de ces établissements) ajoutées à celles locales de type CRBF (qui vérifie régulièrement ces capacités de reprise d'activité), devrait avoir résolu le problème. Hélas, quel désarroi de découvrir, à travers la lecture des audits de ces différents corps d'inspection ou cabinets externes, que le sujet avait été rabaissé à un vulgaire test de reprise informatique sur des applications sélectionnées par la DSI. Et mené uniquement avec des utilisateurs testeurs triés sur le volet.

En discutant avec les gestionnaires internes du risques de ces établissements, on constate une attitude typiquement française face à ce constat : "pour l'instant c'est ainsi on verra plus tard, d'ailleurs chez nous il n'y a jamais eu d'incendie". Un parfait exemple d'attentisme alors que les manques sont bien connus.

Il faut dire qu'en matière de vocabulaire la traduction n'est pas aisée et prête à confusion. Le PCA (Plan de Continuité d'Activité ou BCP, Business Continuity Plan en anglais) a trop souvent été rapproché au terme anglais DRP (Disaster Recovery Plan), alors que la notion d'"activité" (le business, le métier) a été supprimée au profit d'un "test informatique".

Sur la base des fraudes survenues ces dernières années les vendeurs bâtissent des stratégies "alimentaires" visant à expliquer à nos frêles RSSI qu'il y a forcément une solution technique à tous leurs problèmes. Or il apparait que les fraudes relèvent essentiellement de problématiques d'organisation et donc de processus internes. Par exemple lorsque l'attribution d'un accès n'est pas soumis à l'identification de la personne physique. L'accès est trop souvent simplement "ajusté" par une validation du management ou du métier, qui dans le meilleur des cas donne un accord par email et dans le pire un accord tacite (les consultants qui entrent dans mon service ont "tacitement" le droit d'accèder à l'intranet). Mais l'identification de la personne physique nécessite un renforcement des moyens généraux liés au contrôle d'accès aussi bien en terme humain qu'en terme de logistique. Mais l'heure étant à la diminution des coûts, les idées de cette nature sont immédiatement tuées dans l'oeuf.