À l’heure où les systèmes d’informations sont au centre de la gestion de nos organisations, l’interruption des services informatiques coûte beaucoup d’argent aux entreprises, et ce, peu importe la cause du sinistre (qu’il soit d’origine malveillante, dû à une erreur humaine, provoqué par une panne matérielle ou la conséquence d’une catastrophe naturelle).

Selon la durée (de quelques heures à plusieurs semaines), l’indisponibilité des services entraîne une perte de revenus qui peut mener, dans le pire des cas, à la faillite. Évaluer le coût réel de l’indisponibilité informatique est un exercice difficile. Certains frais directs sont évidents, mais d’autres coûts sont indirects et de par là même, plus difficiles à identifier.

Dans cet article, découvrez un tour d’horizon des coûts de l’indisponibilité informatique et comment les calculer à l’aide d’une formule simple. Nous aborderons également des propositions pour anticiper un sinistre informatique afin d’en limiter l’impact financier.

Perte de données et indisponibilité : coûts directs et coûts cachés

En matière d’indisponibilité des systèmes d’information, il est possible d’identifier deux types de coûts principaux :

  • coût liés à la perte de données,
  • coût lié à l’indisponibilité de la donnée

Selon l’étude Global Data Protection Index (GDPI) de 2020 pour la France :

  • 24% des entreprises ont subi une perte de données au cours des douze derniers mois, avec un coût moyen (USD) de 493 000 dollars.
  • 37 % des entreprises ont subi des temps d’inactivité non planifiés de leur système informatique, avec un coût moyen de 382 000 dollars.

D’autres coûts, moins évidents, viennent s’ajouter au coût de la perte de données et de l’indisponibilité des systèmes :

  • Les frais engendrés par la détection de la perte,
  • Les mesures de récupération et de restauration,
  • Les frais indirects substantiels pour prévenir les clients et faire la déclaration légale (RGPD),
  • L’impact financier à long terme concernant l’image de marque de l’entreprise (risque de perdre la confiance des clients et de porter un coup au moral des salariés).

Comment calculer le coût de l’indisponibilité de votre système d’information ?

Calcul le coût de l’indisponibilité

Calculer le coût de l’indisponibilité de votre système d’information vous permettra de savoir à quoi vous attendre en cas d’incident et ainsi d’adapter votre stratégie en fonction des coûts supportables ou non pour votre structure.

Pour calculer le coût d’indisponibilité de votre système d’information, vous devez donc ajouter ensemble les éléments suivants :

Coût de l’indisponibilité = Perte de CA + Perte de productivité + Coût de la restauration + Frais Indirects + Impact sur l’image de marque

Calcul de la perte de CA

Une interruption de service pouvant durer de quelques heures à plusieurs jours, il convient de calculer l’impact de cette interruption sur votre chiffre d’affaires global.

  • Dans un premier temps, estimez le montant de votre chiffre d’affaires horaire, en d’autres termes votre CA hebdomadaire divisé par 35h.

Ensuite, pour calculer le montant de la perte de CA, il faut utiliser la formule suivante :

Coût de la perte de chiffre d’affaires = CA horaire x Temps d’interruption x Pourcentage de disponibilité

  • Concrètement, si une entreprise a un chiffre d’affaires de 1000€/heure et qu’elle subit un temps d’interruption de 5h avec 25% de disponibilité de service, pendant cette période :

– Elle va subir une perte de CA de 1000 x 5 x 25% = 1250€
– Si le service est totalement indisponible, la perte s’élève à 5000 euros.

Coût de la perte de productivité

Même s’ils sont au chômage partiel ou total pendant le temps de l’interruption de service, vos employés ont un salaire fixe qui est à prendre en compte pour évaluer vos pertes.

Pour réaliser le calcul de perte de productivité, il vous faut utiliser le salaire horaire de chacun de vos salariés et le multiplier par le pourcentage de leur productivité pendant cette période d’indisponibilité de service.

La formule est la suivante :
Coût de la perte de productivité = (Salaire horaire de l’employé n°1 x % de productivité) + (Salaire horaire de l’employé n°2 x % de productivité) + etc (autant de fois que vous avez d’employés)

Selon leur rôle dans votre entreprise, certains employés seront peut-être à l’arrêt total alors que d’autres pourront travailler presque normalement. C’est pourquoi ce calcul doit être effectué de manière individuelle, et que le résultat obtenu pour chaque employé doit être ajouté les uns aux autres afin d’obtenir un montant global pour la perte de productivité de l’entreprise.

Les coûts de restauration, les frais indirects et l’impact financier à long terme

Enfin il faudra ajouter à ces calculs :

  • les coûts de restauration du système d’information,
  • les frais indirects (tels que présentés dans notre premier paragraphe)
  • l’impact financier à long terme sur l’image de marque.

Indisponibilité des systèmes informatiques : les mesures à mettre en place

Connaître ses coûts en cas d’indisponibilité de système est vital, mais le mieux, c’est encore de se prémunir de ces indisponibilités ou de les réduire.

On distingue deux types de mesures permettant de limiter l’indisponibilité des systèmes informatique :
– les mesures préventives, pour éviter l’interruption de services,
– les mesures curatives, qui permettent de rétablir le service.

Sauvegarder les données de l’entreprise

Disposer d’une sauvegarde à jour est le meilleur moyen de reprendre rapidement son activité après un sinistre informatique.

Sauvegarde journalière, hebdomadaire, ou plusieurs fois par jour : pour savoir quel type de sauvegarde est la plus adaptée à votre entreprise, il faut analyser les menaces et les éventuelles failles de sécurité qui pèsent sur vos systèmes d’information.

On parle ici d’un plan complet qui prend en compte la fréquence et le type de sauvegarde.

Plan de Secours Informatique

Le PSI, Plan de Secours Informatique, cible la reprise d’activité de l’entreprise suite à une indisponibilité des services informatiques. Avoir un plan de secours permet de limiter les risques et l’impact d’une indisponibilité de service. Il concerne surtout la restauration de l’infrastructure et des données. Il est également appelé PRA (Plan de Retour à l’activité ou Plan de reprise d’Activité).

Pour qu’il soit applicable en toutes circonstances, le plan de secours informatique doit disposer d’une maintenance. Il doit être mis à jour régulièrement, au plus près de l’évolution de l’entreprise, concernant par exemple le développement d’une nouvelle activité ou un recrutement.

Plan de Continuité d’Activité

Le PCA ou Plan de Continuité d’Activité couvre un domaine plus large que le PSI.

En effet, outre les aspects techniques, il prend également en charge les aspects organisationnels, de ressources humaines et de responsabilités.

Il propose par exemple une solution de repli utilisateurs (locaux de secours en cas de sinistres des locaux principaux) ou l’organisation de la gestion de la crise et de la communication.

Formation du personnel

Se protéger d’une interruption de service concerne aussi la formation de votre personnel.

L’étude Coast of Data Breach Study (CDBS) 2020 confiée à IBM Security par le Ponemon Institute précise qu’en France dans 21% des cas, la violation de la confidentialité des données est provoquée par une erreur humaine. Il convient de sensibiliser ses collaborateurs à la sécurité informatique pour les responsabiliser.

Faire appel à un prestataire informatique unique

Enfin, dans la liste des mesures qu’il est possible de mettre en place pour limiter le coût des pertes ou des indisponibilités, il faut également penser à limiter le nombre des prestataires chargés de la protection ou de la gestion de ces données.

En effet, selon Global Data Protection Index de 2020, la plupart des organisations font malheureusement appel à plusieurs prestataires pour la protection de leurs données et cette tendance est en progression constante. Elles étaient 59% des entreprises en 2016, 75% en 2018 et 78% en 2019.

Faire appel à plusieurs prestataires rend plus difficile la mise en place de mesures correctives en cas d’incidents.

À l’inverse, faire appel à un seul prestataire signifie une réduction des coûts majeure lorsqu’il s’agit de traiter une perte de données ou d’indisponibilité.

Ainsi, toujours selon cette étude, les organisations qui travaillent avec un unique prestataire
– ont des coûts liés à la perte de données diminués par 5.
– ont des coûts liés aux interruptions de service 1,5 fois moins importants.

Chez Ivision, la mise en place de la résilience de votre système d’information de continuer de fonctionner même en cas de panne ou d’incident, la capacité de conserver les données de votre système, de les préserver, ou de les restaurer si besoin, et toutes les procédures qui y sont associées, font partis de notre ADN depuis près de 20 ans d’expérience.

Pour une question, une remarque, ou un devis, utilisez notre formulaire de contact.