Questions de dirigeants sur le SI, la cybersécurité et la continuité d’activité

Le PCA organise la façon dont l’entreprise continue à fonctionner pendant une panne, une cyberattaque ou une indisponibilité importante. Il concerne les métiers, les modes dégradés, les priorités et les responsabilités.

Le PRA organise la reprise du système d’information après l’incident : applications à restaurer, données à récupérer, accès nécessaires, prestataires à mobiliser, validations métier et ordre de redémarrage.

Pas forcément en premier. Un SIEM centralise des journaux d’événements et peut aider à détecter des signaux faibles. Mais il n’a de valeur que si les bonnes sources sont collectées et si les alertes sont réellement analysées.

Pour beaucoup de PME, il est plus urgent de traiter les fondamentaux : MFA, sauvegardes testées, mises à jour, comptes administrateurs, messagerie, exposition Internet, contrats prestataires et capacité de réaction en cas d’alerte.

L’antivirus vise surtout à bloquer des menaces connues. L’EDR surveille les comportements suspects sur les postes et serveurs. Le XDR cherche à corréler plusieurs sources : postes, messagerie, cloud, réseau ou identité.

Ces outils peuvent être utiles, mais ils ne remplacent pas une organisation claire : qui reçoit les alertes, qui décide, qui intervient, qui vérifie et qui informe la direction ?

Une DSI externalisée apporte à une PME une capacité de pilotage SI à temps partiel. Elle aide à prioriser, structurer une feuille de route, suivre les prestataires, cadrer les projets, clarifier les risques et rendre les décisions plus lisibles pour la direction.

Elle ne remplace pas nécessairement le prestataire informatique. Elle permet plutôt de mieux le piloter et de relier les sujets techniques aux enjeux métier, budgétaires et de continuité d’activité.

On ne pilote pas correctement ce que l’on ne voit pas. La cartographie SI permet de comprendre les applications, données, flux, accès, prestataires, coûts et dépendances qui permettent à l’entreprise de fonctionner.

Elle sert autant à la cybersécurité qu’au pilotage des coûts, aux projets métier, à la continuité d’activité, à la gestion des prestataires et à la réduction des angles morts.

La priorité n’est pas de tout protéger au même niveau. Une PME doit d’abord identifier ses actifs critiques : messagerie, ERP, fichiers, sauvegardes, comptes administrateurs, accès distants, postes clés, données sensibles et prestataires essentiels.

Ensuite, il faut concentrer les efforts sur les mesures qui réduisent réellement le risque : MFA, sauvegardes restaurables, mises à jour, droits d’accès, exposition Internet, protection de la messagerie, sensibilisation ciblée et procédures d’incident.

Oui, surtout lorsque le serveur de fichiers, les espaces partagés ou les outils SaaS contiennent des données sensibles. Des droits trop larges augmentent le risque de fuite, d’erreur, de suppression accidentelle et d’impact en cas de ransomware.

La démarche doit rester pragmatique : repartir des usages métier, définir des responsables, structurer les groupes d’accès, revoir les droits sensibles et accompagner les utilisateurs.

Les bonnes questions SI ne doivent pas rester théoriques. Elles doivent déboucher sur des décisions : vérifier une sauvegarde, revoir un accès, prioriser une application, cadrer un prestataire, lancer un audit, différer un outil ou préparer un PRA/PCA.

Pour une PME, la valeur vient moins de la quantité de sujets traités que de la capacité à choisir les bons sujets, dans le bon ordre, avec un suivi clair.