Publicité en cours de chargement...
Ce que nous enseigne la mégapanne électrique dans la péninsule ibérique
Écouter l'article

Ensuite, comme à chaque fois dans le cas des pannes électriques, cela ne dure jamais longtemps, une journée tout au plus[1]. C’est une bonne nouvelle. En cas de panne cyber, on serait parti pour des semaines, et là, ça rigolerait moins. C’est donc bien une bonne nouvelle. Attention, personne ne nie l’impact d’un tel incident : mais tout le monde convient qu’une panne électrique totale de 8 heures et la même de 3 semaines, ce n’est pas la même histoire.
Ensuite, si certains soupçonnent une origine cyber de la panne au moment de l’écriture du présent billet, il est plus probable que ce soit une panne technique sur le réseau, qui devait avoir un Spof non identifié. Bonne nouvelle, il va être identifié – jusqu’à la prochaine panne qui fera intervenir le prochain Spof non encore identifié. Mais bon, à l’issue de la panne, du retex et des contre-mesures qui seront prises, la résilience en sera meilleure : ce qui ne me tue pas me rend plus fort, c’est une bonne nouvelle.
Ensuite, pour les experts cyber que nous sommes, le plus beau PCA/PRA du monde ne sert à rien quand il n’y a plus de courant ou, dit autrement, on atteint vite les limites de nos prévisions. Ce qui permet de remettre légèrement l’église au centre du village : pas de jus, pas de chocolat. On rappelle d’ailleurs que lors de la tempête de 1999, 3,5 millions de foyers en France avaient été totalement privés d’électricité pendant plusieurs jours. Eh oui ! Tout n’est pas la faute des informaticiens. Et parmi les scenarii qu’un PCA/PRA ne peut pas envisager, il y a justement celui de la panne électrique totale : tout dispositif a ses limites, on a juste tendance à l’oublier.
À nous autres RSSI, la mégapanne va nous donner quelques éléments de langage dans la prochaine réunion top level dans laquelle nous interviendrons : non, le dédoublement du datacenter ne résout pas tout, oui, il faut prévoir des procédures dégradées métiers même s’il y a des sauvegardes, un datacenter de secours et un EDR top. Si, si.
Ensuite toujours, on se rend compte à quel point on est dépendant de la prise électrique : pas de DAB, pas de métro, pas d’ascenseur, pas d’eau chaude (note pour moi-même : penser à acheter du gel hydroalcoolique), pas d’Internet ni de téléphone portable, pas de selfie débile à poster sur des réseaux sociaux encore plus débiles. L’IT est replacé à sa juste position dans la chaîne : un usage et rien d’autre (note pour moi-même : ne pas se fâcher avec les électriciens).
Personne n’en a parlé sur les réseaux sociaux, mais j’aurais été curieux de voir la tête des ados réalisant qu’il n’y a plus Twitter/Facebook/Instagram pendant au moins une soirée (note pour moi-même : au prochain repas de Noël proposer aux parents des ados présents de simuler une panne de la box pendant 72 heures pour rire).
Les pannes électriques massives ne sont pas rares : une recherche rapide sur le Web nous en sort des dizaines depuis les années 60 sur tout le globe, sur tous les continents, y compris l’Europe et la France, dont certaines ont duré assez longtemps du reste. Parier sur 8 heures de RTO[2]c’est la bonne moyenne, mais il y a des cas (notamment celui susnommé en 1999) où les coupures se sont prolongées des semaines dans des régions assez vastes.
Dans la plupart des cas d’ailleurs, il n’y a pas de victimes humaines – et c’est heureux –, ce qui nous enseigne deux choses importantes. La première, c’est que passé l’effet de sidération les organisations humaines sont extraordinairement résilientes. La seconde, conséquence de la première, c’est justement qu’il faut s’entraîner pour limiter l’effet de sidération. Que l’on parle de courant électrique ou d’IT, même combat.
Le prochain PDG d’EDF qui vous annoncera qu’il n’y a pas de Spof sur le réseau français[3], vous devrez avoir la même réaction que pour le prochain DSI qui vous annoncera qu’en cas de sinistre IT tout bascule au-to-ma-ti-que-ment sur le DC de secours[4] : mythoooooooooooo !
[1] Le rétablissement total du courant peut prendre quelques jours, on l’a vu lors de tempêtes en Bretagne.
[2] Return Time Objective, ou temps moyen de retour au nominal technique.
[3] Exemple idiot, je ne l’ai d’ailleurs jamais entendu.
[4] Exemple pas hypothétique du tout : si je ne l’ai pas entendu 100 fois, je ne l’ai jamais entendu.

Cédric Cartau
Avez-vous apprécié ce contenu ?
A lire également.

La cyber et les probabilités paresseuses
26 mai 2025 - 21:29,
Tribune
-Récemment, j’ai assisté à la conférence d’un entrepreneur qui propose des prestations de service relatives à des « calculs d’impact ». Oui, dit comme cela, c’est étrange, mais en fait pas autant qu’il y paraît : dans l’idée, si vous disposez d’un budget fixe, entre deux choix de projets cyber (par e...

Cybersécurité, simuler pour protéger : la force des formations immersives
19 mai 2025 - 23:41,
Tribune
-Dans un secteur aussi sensible que celui de la santé, la cybersécurité et la cyber résilience sont prioritaires. Les séquences immersives intégrées dans les formations à la cybersécurité jouent un rôle essentiel pour préparer les professionnels à faire face aux menaces. Ces approches pédagogiques re...

Un hôpital, sous-traitant, sanctionné pour ne pas avoir déclaré les sous-traitants ultérieurs
02 mai 2025 - 16:13,
Tribune
- Alexandre Fievee, Gaétan Dufoulon et Alice Robert de Derriennic AssociésPar décision du 10 avril 2025 [1], l’autorité de contrôle espagnole a infligé une amende de 500.000 euros à un hôpital qui avait recruté des sous-traitants ultérieurs sans en informer préalablement le responsable du traitement.

Cybersécurité hospitalière : le GHT Rhône Nord Beaujolais Dombes, premier lauréat du programme CaRE
09 mai 2025 - 16:39,
Actualité
- DSIHLe programme CaRE franchit une étape clé. Moins d’un an après le lancement de son premier appel à financement dédié à la sécurisation des annuaires techniques et de l’exposition sur Internet, la direction du programme annonce la validation du premier dossier ayant atteint l’ensemble des objectifs fi...