APPRÉCIATION DU RISQUE EN SALLE INFORMATIQUE – CONCEVOIR UNE MATRICE D’ÉVALUATION
La concentration et la valeur (financière, opérationnelle…) des actifs matériels et immatériels localisés en salle informatique incitent l’organisation propriétaire à disposer d’une grille de lecture opérationnelle et pragmatique en matière d’analyse et de prévention des risques de sinistres. La constitution d’une cartographie des menaces doit tenir compte de la complexité de l’écosystème technique constitutif de la salle informatique. Pour autant, la diversité des sources potentielles d’incidents ne doit pas conduire à une divergence méthodologique de gestion des risques ni de réduction des menaces. Bien au contraire, il importe de prolonger le pilotage global et inter-cohérent de la salle informatique par son organisation propriétaire jusqu’au management des risques, afin d’éviter les surcoûts et dommages issus d’une appréciation des risques non harmonisée.
Avant même de foncer tête baissée dans le nécessaire recensement des sources potentielles de sinistre affectant la salle, il convient de statuer sur une méthode permettant de quantifier la dangerosité de chaque risque. Un procédé simple à comprendre et à utiliser consiste à affecter pour chaque risque trois scores de 1 à 5 selon 3 critères de qualification du risque à long terme. Le premier de ces critères est la probabilité de la matérialisation du risque ; par exemple, une secousse sismique de magnitude 7 en plein bassin de Paris peut être considérée comme très improbable (score : 1/5), même à long terme, tandis que durant ce laps de temps l’indisponibilité de l’une des deux sources énergétiques de la salle informatique peut être considérée comme probable (score : 4/5).
Le second de ces critères évalue la gravité de l’incident résultant de la matérialisation du risque, en partant du principe qu’aucun dispositif de prévention n’est à l’œuvre. Bien entendu, considérant la finalité de la salle informatique, c’est bien en regard de l’impact sur le fonctionnement des services informatiques qu’il convient de procéder à cette évaluation. L’arrêt total et prolongé de la salle informatique est considéré comme catastrophique (score : 5/5) tandis que l’indisponibilité d’une infrastructure de qualification/recette dans le secteur agro-alimentaire peut probablement être considéré comme un incident mineur (score : 2/5), alors que dans l’industrie automobile ce degré sera rehaussé si l’incident altère la livraison des modules informatiques embarqués dans les véhicules.
La détectabilité du risque constitue le dernier facteur à considérer. Elle rend compte de la capacité de l’organisation à identifier l’apparition du risque avant que celui-ci ne se matérialise en incident et ne commence à générer un impact mesurable. Par exemple, lors d’un départ de feu électrique en salle informatique, les dégagements de fumée extrêmement corrosifs sont les premiers à occasionner de lourds dégâts sur les systèmes des baies avoisinantes, avant même que le feu ne se propage. La capacité d’une organisation à détecter ces départs de feu le plus précocement possible s’avère donc déterminante car l’efficacité de la réponse à l’incident (autrement dit l’extinction localisée d’un incendie avant que celui-ci ne devienne perceptible pour l’être humain) en dépend. Pour le critère détectabilité, un score de 1/5 représentera un risque systématiquement détecté en amont de l’apparition de l’incident, et 5/5 un risque dont la matérialisation est par essence indétectable.
Par addition des scores obtenus, un scoring global de 3 à 15 permettra de classer les risques inventoriés par priorité de traitement. Pour affiner le processus décisionnel, un scoring parallèle peut tenir compte uniquement des deux premiers facteurs. Un risque réalisant un score minimum de 10/15 sur la matrice à 3 paramètres ou de 7/10 minimum avec la matrice bidimensionnelle probabilité/gravité doit faire l’objet d’un traitement prioritaire. Un risque réalisant un score minimum de 13/15 sur la matrice à 3 paramètres ou de 9/10 minimum avec la matrice bidimensionnelle probabilité/gravité doit faire l’objet d’un traitement immédiat. Le traitement du risque portera sur la détection de l’incident au plus tôt, la diminution de sa probabilité d’apparition et la réduction des impacts lorsque le risque se matérialise en incident malgré les dispositifs de prévention mis en place.
Pour se former :
Conception de Salle Technique – Data Center