Télécommunications : le réseau mobile Orange down

Si l’on demandait aux Français quelle panne les a le plus marqués en 2012, il y a fort à parier qu’ils parleraient d’Orange : au mois de juillet, l’opérateur (et d’autres par ricochet) a subi une interruption de son réseau mobile pendant plusieurs heures suite à un incident logiciel. Moins d’une semaine plus tard, c’était au tour d’O₂ de subir le même sort au Royaume-Uni pour quasiment 24h. Preuve, s’il en fallait une, que l’on ne doit pas considérer la résilience des réseaux mobiles comme une évidence.

Énergie : la plus grosse panne électrique de l’histoire

Il en va de même pour les réseaux électriques. Si la dernière panne générale en France remonte à 1978, des interruptions significatives ont été enregistrées récemment (Chili et Japon en 2011, USA en 2008 et 2003). Fin juillet 2012, l’Inde a établi un triste record : la plus grande panne d’électricité jamais enregistrée, avec 670 millions d’usagers touchés pendant plusieurs jours. En cause : une capacité de production qui a du mal à suivre la croissance de la population et de la demande, combinée à une sècheresse qui a diminué la production hydro-électrique du pays.

Banque et finance : un des bugs les plus coûteux après le blackout aux USA de 2003 et la destruction d’Ariane 5 en 1996

Les pannes et bugs logiciels occupent une bonne place cette année dans le top des causes des incidents majeurs. C’est ce qui s’est passé pour Knight Capital, qui a subi en août l’un des bugs les plus chers de l’histoire : 440 millions de dollars envolés. Un système de trading haute fréquence mal qualifié est à l’origine du désastre, qui ne manquera pas d’alimenter les détracteurs de la finance. Knight Capital est d’ailleurs passé proche de la banqueroute et n’a pu éviter le rachat par un de ses concurrents début 2013.

Dans le secteur bancaire, impossible de passer sur la panne informatique de Royal Bank of Scotland (RBS). Provoquée par une erreur dans un batch, elle a exigé d’importantes et nombreuses opérations manuelles des équipes informatiques ce qui a fortement retardé le traitement. Plus de 15 millions de clients ne pouvaient plus retirer de l’argent ou faire des virements pendant une semaine ! Résultat : 219 millions d’euros de dédommagements pour la banque.

Services informatiques : le cloud, toujours le cloud !

Les belles promesses de résilience de l’informatique dans les nuages avaient déjà pris un sacré coup en 2011, avec des interruptions importantes chez la plupart des acteurs majeurs du secteur. L’année 2012 a fini de tuer le rêve.

Amazon est le grand vainqueur avec au moins 4 pannes majeures en 2012, dont une le jour de Noël. Les causes sont diverses : tempête et panne électrique, bug logiciel, erreurs réseau ou erreur humaine. Chez Microsoft, la panne mondiale d’Azure en février a viré au tragicomique lorsqu’il fut révélé qu’elle provenait d’une erreur logicielle liée à l’année bissextile ! Enfin, bien que moins importantes, Google a aussi connu son lot de pannes en 2012, tout comme Facebook et Twitter.

Catastrophes naturelles : l’ouragan Sandy … entre autres

Impossible de terminer ce panorama sans évoquer les catastrophes naturelles : inondations aux Philippines, séisme en Iran et en Chine, ouragan Sandy en Amérique du Nord… Selon le réassureur allemand Munich Re, les catastrophes naturelles ont causé environ 160 milliards de dollars de pertes en 2012 (400 en 2011 selon la même source, année la plus coûteuse de l’histoire en la matière), sans parler des nombreuses victimes.

Et en bonus…

Moins importants en termes d’impacts que ceux mentionnés ci-dessus, deux exemples d’incidents nous semblent pourtant pouvoir donner matière à réflexion.

En cette année d’élections en France où une nouvelle fois la question du vote électronique a été posée,  deux incidents informatiques ont perturbé des processus électoraux : dans le canton de Vaud en Suisse et lors des primaires du Likoud en Israël.

Pour clore ce panorama, on se doit de citer les actes malveillants, liés à la cybercriminalité notamment, par exemple les importantes attaques DDoS contre des institutions financières aux USA ou l’infection de 30000 PC de Saudi Aramco (première compagnie pétrolière mondiale) par le virus très perfectionné Shamoon. On notera également les révélations du New York Times concernant l’implication des USA et d’Israël dans le virus Stuxnet en 2010, faisant encore monter d’un cran la pression sur la cyber-guerre.

Les années passent, les interruptions d’activité restent

Les années se suivent et ne se ressemblent pas¹, mais les interruptions d’activité, catastrophes et autres bugs informatiques continuent de provoquer des problèmes majeurs.

S’il est important de mettre des moyens sur leur prévention, il est tout aussi nécessaire de savoir réagir. Le risque zéro n’existe pas et certains accidents sont aussi inattendus qu’inévitables. Dans ce cas,  un PCA accompagné d’une gestion de crise efficace peuvent permettre de limiter grandement les dégâts !

[Article écrit en collaboration avec Gérôme Billois]

¹Voir notre rétrospective des incidents 2011.

Cet article La fin du monde a (presque) eu lieu : revue de 5 incidents marquants en 2012 est apparu en premier sur RiskInsight.

Quelques incidents majeurs d’indisponibilité survenus en 2011

Dans le domaine des technologies de l’information, l’année passée a connu une médiatisation forte du cloud, notamment vis-à-vis du grand public. Mais elle a également montré quelques limites du « nuage » en termes de disponibilité avec des incidents touchant les acteurs majeurs du secteur tels qu’Amazon, Microsoft ou Google.

2011 a également connu les désormais habituelles, mais ô combien impactantes ruptures de câbles. Notamment celle de Vélizy, en mai dernier, où des fibres ont été coupées lors de travaux du tramway. Un site d’hébergement informatique a été isolé près d’une journée, perturbant ainsi l’activité de grands comptes de la distribution et celle d’un ministère. Non moins insolite, une Géorgienne de 75 ans a coupé la connexion de 3,2 millions d’Arméniens en cherchant du cuivre près de Tbilissi !

Mais de tous les incidents, les catastrophes naturelles sont indéniablement les plus marquantes, par leur gravité et leur dimension parfois inhabituelle : les inondations en Thaïlande et surtout le désastre de Fukushima. Ces catastrophes ont montré les limites des dispositifs de maîtrise des risques, et poussé ces pays à améliorer leur capacité à gérer des crises exceptionnelles.

Un renforcement de la sensibilité des états et des organisations sur le sujet

Le Japon et la Thaïlande ne sont pas les seuls pays qui se sont intéressés à la question. Le sinistre de Fukushima a réveillé l’opinion publique sur le risque nucléaire et incité la très grande majorité des pays exploitant cette énergie à examiner la sécurité de leurs installations. Dans le même courant, l’augmentation des événements naturels pousse de nombreux gouvernements de par le monde à repenser leur gestion des risques majeurs.

Le 3 janvier, l’Autorité de Sûreté Nucléaire française (ASN) a remis au Premier Ministre son rapport sur les évaluations complémentaires de sûreté (ECS) et révisé ses exigences de sûreté relatives à la prévention des risques naturels (séisme et inondation), à la prévention des risques liés aux autres activités industrielles, à la surveillance des sous-traitants et au traitement des non-conformités.

Plus globalement, l’Union Européenne a, ces dernières décennies, défini des réglementations sur des sujets divers allant de la réglementation sur les substances chimiques (REACH), celle sur l’évaluation des risques d’inondation (2007/60/CE), à celle relative au domaine banque/assurance (Bâle III, Solvency II), etc. Et ces directives sont déclinées en France.

Sur un autre continent, le Maroc conduit un projet de définition d’une stratégie nationale de prévention et de gestion des risques, notamment ceux liés aux catastrophes naturelles. Cette volonté a été confortée par les inondations de mars 2011.

Mais outre ces réglementations, les catastrophes de 2011 poussent à inscrire la gestion des risques dans de nouvelles dimensions.

Des risques à traiter au-delà des frontières habituelles…

Au-delà des frontières géographiques…  Les inondations en Thaïlande en témoignent. Si la ville de Bangkok a été globalement préservée (au travers des actions volontaristes menées par le gouvernement), il n’en reste pas moins que des zones industrielles, dans sa périphérie ou dans le pays, ont été sévèrement touchées.  Les impacts en termes de production se sont répercutés partout dans le monde, en particulier sur le marché de l’électronique, et notamment sur la production des disques durs professionnels comme grand public (augmentation des prix de 30% à 150% selon les distributeurs).

Au-delà des frontières internes des entreprises… La gestion des risques doit bien intégrer la réflexion sur la continuité des processus avec l’ensemble des acteurs, sans omettre les prestataires et fournisseurs essentiels. C’est ainsi que la pénurie de pièces produites en Thaïlande a poussé un constructeur automobile à revoir sa production à la baisse.

Au-delà des frontières des typologies de risques… La cyberattaque en est une illustration. Il ne s’agit pas de traiter la confidentialité des données qui peuvent être accédées uniquement, en oubliant la disponibilité des services offerts par une DSI, ni l’inverse. Les objectifs de ces attaques étant variés, tous les risques doivent être considérés, de la fuite d’informations et à l’interruption d’activité.

L’approche traditionnelle consistant à traiter les risques de façon indépendante, ce qui pousse bien souvent à les penser dans un cadre restreint, a donc vécu : il convient désormais de bâtir un dispositif global de gestion des risques, sur les processus métiers critiques avec tous leurs enjeux, leurs acteurs et leurs moyens, qu’ils soient en France ou non, basés sur les nouvelles technologies ou non, etc.

Cet article 2011 : rétrospective des incidents majeurs et impacts sur la gestion de risques est apparu en premier sur RiskInsight.