MCO et MCS : faut-il repenser les chaines de responsabilité ?
Depuis le premier confinement lié à la COVID, le travail à distance a révé-lé l’importance critique du bon fonctionnement des outils digitaux en entreprise. Disponibilité des réseaux, bugs des applications métier, tentatives d’intrusion… certains dysfonctionnements pourraient être évités grâce au MCO (Maintien en Condition Opérationnelle) et au MCS (maintien en condition de sécurité) des systèmes d’information. Et s’il était temps de repenser les chaines de responsabilité pour garantir la performance optimale de ses activités ?
Objectif : sécuriser les actifs matériels et informationnels de l’entreprise
Depuis le 3 avril 2021, les entreprises vivent leur troisième confinement. Le télétravail et les opérations à distance sont fortement recommandés par le Gouvernement pour tous les collaborateurs, lorsque l’activité le permet. Ce qui, en 2021, est le cas de plus en plus de métiers, y compris ceux des « cols bleus » dont la digitalisation n’a cessé de progresser ces dernières années. Terminaux mobiles durcis en entrepôts, PDA, smartphones ou tablettes en magasins, plateformes digitales dédiées au e-commerce, robotisation des chaînes de production, pour ne citer que quelques exemples.
De leur côté, les équipes informatiques s’affairent pour garantir le bon fonctionnement des outils et des systèmes. Les opérations de MCO (Maintien en condition opérationnelle) et de MCS (Maintien en condition de sécurité) permettent notamment de prendre des mesures préventives ou correctives sur les actifs de l’entreprise, sur les chaînes d’approvisionnement, de production ou de services, afin de préserver leur intégrité.
Pour le premier (le MCO), il s’agit d’assurer aux opérateurs que leurs outils soient disponibles et fonctionnels au moment où ils en ont besoin. Le second (le MCS) consiste à s’assurer que le profil de sécurité des outils ayant une composante numérique (système d’exploitation, applicatif logiciel, base de données, etc.) soit parfaitement à jour. En clair, il s’agit d’éviter toute tentative de cyberattaques et d’intrusions qui pourraient mettre à mal les données de l’entreprise, sa réputation ou le travail des équipes.
Lisez aussi cet article :
« Digitalisation : comment la COVID-19 révolutionne-t-elle les usages en entreprise ? »
De l’urgence de repenser les responsabilités du MCO et MCS
Lorsque des dysfonctionnements apparaissent, les DSI se sentent parfois pris entre le marteau et l’enclume, comme s’ils étaient les seuls maîtres à bord sur une chaîne d’opérations qui peut s’avérer de plus en plus complexe à appréhender dans le détail. Il est vrai qu’avec les outils digitaux, toute altération de l’usage se remarque très rapidement : une batterie déchargée, une connexion lente, un terminal qui ne réagit plus, et c’est l’escalade assurée. Il en pourrait être bientôt de même avec les risques cyber, bien que moins visibles au premier abord. C’est pourquoi le MCO est souvent mieux pris en considération que le MCS dans les organisations.
Même si la prise de conscience progresse, je crois qu’il est temps de considérer les notions de MCO et de MCS non plus comme de simples options « assurantielles », mais comme des prérequis à toute activité industrielle, logistique ou commerciale. Il faut donc systématiquement intégrer leur coût dans les budgets annuels. Par ailleurs, le risque qui pèse sur l’activité tout entière de l’entreprise en cas de défaillance des outils digitaux implique de redéfinir au plus juste la chaîne de responsabilités. Une direction générale et plus largement un comité exécutif doivent être impliqués dans la capacité de l’entreprise d’assurer le MCO et le MCS de ses outils métier. Rappelons que la France est dans le Top 10 des pays les plus touchés par les cyberattaques (source L’Usine Digitale). Parmi les attaques les plus fréquentes, les rançongiciels ont la particularité de bloquer les systèmes d’information de l’entreprise, la rendant inopérante, contre le paiement d’une rançon.
La multiplication des interfaces accroît les risques potentiels
Chaque patron opérationnel doit avoir en tête le coût de la cybersécurité, estimé dans le secteur à 10% du budget SI. Revenons donc à la crise sanitaire. Pourquoi ? Car la crise de la COVID 19, en généralisant le télétravail, a multiplié les connexions entrantes et sortantes des entreprises, démultipliant ainsi mécaniquement le risque qui pèse sur les systèmes d’information. Et ce n’est que le début ! Le virage numérique pris par l’ensemble des entreprises françaises, et demain l’avènement de l’industrie 4.0, ne laisse pas d’autres choix que de s’intéresser de près au MCO et au MCS de ses actifs.
L’incident chez OVH (Datacenter basé à Strasbourg) est malheureusement révélateur de l’importance de redéfinir la chaine de responsabilités au sein des organisations. La perte de données subie par certains clients OVH est en grande partie liée au fait qu’ils n’ont pas souscrit à l’offre de sauvegarde ou de redondance. Alors, qui est responsable ? Le prestataire OVH, le DSI, le directeur des achats ou bien la direction générale ?
À mon sens, c’est faire une erreur que de considérer la sécurité informatique et le bon fonctionnement des outils métiers du seul ressort de la DSI. À l’heure des systèmes complexes, où le savoir et la connaissance sont dilués au sein des organisations, chacun à son niveau doit prendre ses responsabilités face au MCO et au MCS des actifs de l’entreprise. Des opérateurs métiers qui peuvent, par méconnaissance, négligence ou malveillance, créer une brèche dans la sécurité de leur terminal, à la direction générale dont l’enjeu est de garantir le niveau d’activité optimal de l’entreprise.
Vous souhaitez en savoir plus sur les enjeux du MCO et du MCS ? Contactez les experts Hub One pour obtenir une réponse personnalisée.