Newsletter 2ème trimestre 2021

Préambule

La perte de chiffre d’affaires constatée après une cyber-attaque n’est pas nécessairement causale. L’analyse de l’impact de la perte des données sur les processus de l’entreprise permet de décrire les perturbations nées de cette perte et d’évaluer plus facilement les conséquences financières.

L’actualité récente montre une recrudescence des cyber-attaques et renchérit donc l’intérêt de cette approche. 

Un exemple

Une société de fourniture et d’installation de logiciel et de matériel spécifique perd la totalité de ses données suite à une cyber-attaque, ce qui entraîne un black-out total de la société. La reconstitution du système d’information prend plusieurs semaines. 

L’analyse des processus met en évidence que la partie développement de logiciel a été peu affectée ; par contre, la vente en négoce du matériel a été fortement perturbée et le mode dégradé du processus de commande a entraîné une réelle perte de ces commandes.

Après analyse, il a été retenu, pour l’évaluation de la perte d’exploitation, la baisse du carnet de commande et non la baisse du chiffre d’affaires qui était très nettement supérieure.

Approche spécifique 

La perte des données informatiques stoppe la plupart ou la totalité des processus de l’entreprise : processus de prise de commande, processus de fabrication et de réalisation des prestations de service. 

Pour identifier les processus impactés et décrire l’impact de la perte de données sur ces processus et les flux financiers, on s’attachera à :

-    Décrire les différents processus de l’entreprise 
-    Décrire le système d’information de l’entreprise
-    Déterminer les processus impactés et la durée de leur perturbation
-    Etablir un planning précis de reconstitution des données
-    Evaluer l’impact financier de processus impactés.

La description des processus de l’entreprise permettra de comprendre son fonctionnement et d’identifier les informations nécessaires aux différents services pour la réalisation de leur fonction.

Un service commercial aura besoin de la messagerie et de la base de données CRM pour établir des offres de prix par exemple.

La description du système d’information permettra de comprendre l’organisation de l’entreprise et de déterminer où se trouvent les informations nécessaires à ces différents services.

On s’attachera ensuite à décrire l’impact de la perte des données sur les différents processus de l’entreprise pour identifier les dysfonctionnements liés à celle-ci.

Le planning de la reconstitution du système d’information permettra de borner dans le temps les perturbations des différents processus.

Pour chacune de ces perturbations, on cherchera enfin à déterminer et à évaluer le(s) flux financier(s) impactés (carnet de commande, frais supplémentaires, chiffre d’affaires,…)

Nota : cette approche est détaillée dans un article « Evaluation d’une perte d’exploitation suite à une cyber-attaque » publié sur le site www.immatex.fr. 

Points de vigilance

Pour analyser une perte d’exploitation suite à une cyber-attaque, une méthode permet de vérifier le lien de causalité des pertes financières constatées avec la perte des données informatiques ; elle peut s’intituler C.D.E. :

-    C comme comprendre les processus de l’entreprise
-    D comme décrire l’impact de la perte de données sur ces processus
-    E comme évaluer les conséquences financières de ces perturbations.