Les pannes pancanadiennes d’Internet et de réseau cellulaire causées par l’incident de la semaine dernière chez Rogers Communications devraient inciter les décideurs des entreprises de télécommunications et de TI à réfléchir attentivement à la résilience des télécommunications dans les services qu’ils achètent.
De l’aide est disponible : En 2006, le Centre de coordination de la sécurité des infrastructures nationales du Royaume-Uni a publié un guide de bonnes pratiques pour aider les organisations à prendre ces décisions. Le conseil est toujours bon et s’applique aux organisations de tous les pays.
En voici quelques éléments importants :
- Connaître les exigences de votre système de communication. Identifier les systèmes de communication jugés essentiels à la mission et qui présentent un risque élevé pour l’organisation s’ils sont perturbés.
- Analyser les menaces et les vulnérabilités des services critiques à haut risque (par exemple, catastrophe naturelle, attaque malveillante, point de défaillance unique, dépendance commerciale, manque de transparence).
- Mettre le prestataire de services au défi d’expliquer les déclarations de marketing faites sur sa résilience et sa disponibilité. Dans certains cas, vous devrez peut-être vous assurer que vous parlez au bon représentant du fournisseur.
- Concentrez-vous sur les services dont vous avez besoin, et non sur la technologie.
- Faites des vérifications rigoureuses lors de la sélection du fournisseur de services, y compris l’assurance qu’il a une visibilité et un contrôle sur les services qu’il déploie pour garantir cette séparation (qui garantit que les circuits spécifiés sont physiquement séparés sur l’ensemble du réseau afin qu’il n’y ait pas d’échanges communs, de points d’interconnexion ou de chemins de câbles) et la diversité (qui garantit que les circuits spécifiés ne sont pas acheminés sur les mêmes câbles ou systèmes de transmission) est fournie et maintenue. Assurez-vous également qu’ils ont mis en place des plans d’urgence adéquats pour se remettre d’une catastrophe.
- Être conscient que les services à haute disponibilité et à haute résilience coûteront plus cher que les services standard, mais ne pas considérer le coût comme critère principal lors de l’achat de ces services.
Le rapport fait la distinction entre les meilleures pratiques (les mesures qui peuvent être prises pour garantir la résilience, quel qu’en soit le coût) et les bonnes pratiques (les mesures qui fournissent un degré de résilience lié à la stratégie de risque de l’entreprise).
Une option pour les organisations consiste à payer pour le basculement Internet, où le fournisseur passe à un autre réseau si le réseau principal tombe en panne. De nombreux FAI, dont Bell, Rogers et Telus, offrent ce service. Par exemple, un service câblé peut passer à un service sans fil. Cependant, le rapport indique clairement que les acheteurs de télécommunications et d’informatique doivent préciser si le basculement se fait vers un autre réseau du même fournisseur. Cela pourrait ne pas fournir la résilience nécessaire.
Le rapport britannique suggère aux organisations de se poser des questions telles que :
- Avez-vous une liste exhaustive et complète de vos services de télécommunications critiques pour l’entreprise et des systèmes critiques qui les prennent en charge, ainsi qu’un classement de ces services par criticité ?
- Pouvez-vous identifier les services de télécommunications qui prennent en charge vos systèmes critiques et les nommer de manière à ce que vous et le fournisseur sachiez que vous parlez de la même chose ?
- Savez-vous où se connectent vos services réseau dans le réseau central du fournisseur, comment ils sont connectés et les itinéraires physiques qu’ils empruntent une fois qu’ils quittent vos locaux ?
- Si vous utilisez deux fournisseurs, êtes-vous sûr qu’il n’y a pas de routages physiques ou de points de défaillance communs aux deux fournisseurs ?
- Dans vos propres locaux avez-vous une visibilité de vos services de télécommunications jusque dans le conduit du fournisseur ? Certaines parties du câblage, par exemple, sont-elles exposées à des sous-traitants externes ou à d’autres personnes indépendantes de votre volonté ? Existe-t-il des composants tiers, tels que des routeurs ADSL, qui peuvent tomber entre les domaines de responsabilité ?
- Est-ce que tous vos services partent de chez vous dans le même câble ? Sont-ils tous dans le même conduit ?
- Savez-vous si les services critiques sont acheminés via différents composants réseau afin qu’une défaillance d’un composant n’affecte pas tous les services critiques ?
- Lorsque vous commandez de nouveaux services, discutez-vous de vos services existants pour vous assurer qu’il n’y a pas d’hypothèses dangereuses sur la séparation ou la diversité ?
- Revoyez-vous régulièrement vos exigences spécifiques en matière de résilience avec votre fournisseur ?
- Avez-vous des méthodes principales et alternatives pour contacter votre fournisseur (par exemple : téléphone et courriel) ? Avez-vous fourni à votre fournisseur des coordonnées alternatives pour vos propres équipes d’intervention ? Avez-vous discuté de vos plans d’urgence respectifs avec votre fournisseur ?
- Le rapport britannique suggère également des questions à poser au fournisseur. L’une des plus importantes est :
- Pouvons-nous travailler ensemble sur la planification de la continuité des activités et la reprise après sinistre, y compris les tests pour fournir une assurance réseau ?
En 2019, Todd Rychecky, vice-président des Amériques pour Opengear, a écrit une chronique avec des conseils similaires, notamment celui-ci : « En rappelant constamment à ceux qui ne font pas partie des équipes TI combien d’argent la résilience des télécommunications peut sauver à l’entreprise, les équipes TI auront plus de chance de mettre en œuvre la résilience dans leurs réseaux. »
Lire aussi :
Rogers présente des excuses après une panne majeure
Il faut aider les petites entreprises et les organismes à but non lucratif
Adaptation et traduction française par Renaud Larue-Langlois
