Entreprises : Excel, un ami qui ne vous ne veut pas que du bien...<!-- --> | Atlantico.fr
Atlantico, c'est qui, c'est quoi ?
Newsletter
Décryptages
Pépites
Dossiers
Rendez-vous
Atlantico-Light
Vidéos
Podcasts
High-tech
La banque d’affaires JP Morgan a perdu 6 milliards de dollars à cause de la disparition d’un document Excel.
La banque d’affaires JP Morgan a perdu 6 milliards de dollars à cause de la disparition d’un document Excel.
©Flickr

Tableau à trous

Entreprises : Excel, un ami qui ne vous ne veut pas que du bien...

Calculs comptables, carnets d'adresses, banques de données : bien souvent, les entreprises font du logiciel Excel une utilisation qui ne correspond pas aux capacités de ce dernier, entraînant ainsi des risques financiers et techniques très importants. En 2012, JPMorgan a ainsi perdu 6 milliards de dollars.

Stéphane Jourdois
Stéphane Jourdois

Stéphane Jourdois

Directeur chez Atheos de la branche, "Audit et Conseil techniques", une équipe d’une quinzaine de consultants et experts techniques, Stéphane Jourdois assiste depuis 10 ans les grandes entreprises et les administrations dans la sécurisation de leur système d'information.

Voir la bio »

Atlantico : Le logiciel Excel est actuellement l’un des plus utilisés par les entreprises du monde aussi bien pour tenir à jour des carnets de contact que pour faire des calculs d’une importance parfois capitale. En 2012, la banque d’affaires JP Morgan a perdu 6 milliards de dollars à cause de la disparition d’un document Excel. Comment expliquer qu’il soit fait un usage aussi courant de ce logiciel ? Dans quelle mesure les entreprises en sont-elles dépendantes ?

Stéphane Jourdois : L’usage courant de ce logiciel s’explique d'abord par sa cible : le grand public. Microsoft a fait en sorte de mettre à disposition du plus grand nombre un logiciel qui permette à tout un chacun de construire rapidement et facilement des outils adaptés à un besoin ponctuel et spécifique. Au fur et à mesure de la publication des nouvelles versions, de nouvelles fonctionnalités sont ajoutées, que les utilisateurs s’approprient gloutonnement.
L’usage dans les entreprises s’explique ensuite par la réalité des métiers et de leurs besoins, dans un monde qui requiert une adaptabilité toujours plus grande. Les métiers ne peuvent dans certains cas plus se permettre d’attendre le développement par la Direction des systèmes d'information (DSI) de leur entreprise d’une application, certes appropriée, mais dont les phases projet vont prendre du temps et consommer sur leur budget.
Un simple outil conçu avec Excel répond donc parfois tout à fait correctement à un besoin urgent, pour une somme tout à fait modique.

Quels sont les différentes failles inhérentes au logiciel ? Relèvent-elles des "bugs", d'une utilisation inappropriée ou encore simplement d'une dimension humaine ?

Tout d’abord, si Excel est soumis à des dysfonctionnements, c'est aussi le cas de n’importe quelle application développée en interne dans une entreprise.

Sur le fond cependant, quand le métier contourne la DSI, il oublie que si les applications sont développées selon un modèle complexe et contraignant, c’est parce que le métier seul ne sait pas toujours du premier coup identifier ses réels besoins, notamment en termes de sécurité : que se passera-t-il si l’application n’est pas utilisable pendant un certain temps ? Quelles seraient les conséquences pour l’entreprise si les données stockées dans l’application fuitaient sur Internet ? Comment fonctionnera-t-on si les données sont perdues ? Quand la DSI se charge de répondre à un besoin du métier, elle tient compte "par défaut" des besoins de sauvegarde périodique des données, de contrôle des accès (qui accède à quelle information ?), et de tout un tas d’autres besoins dont le métier n’a pas nécessairement conscience.

Les risques de sécurité liés à Excel sont donc plus liés à une utilisation "abusive" d’Excel et à un manque de sensibilisation à la sécurité, qu’au logiciel lui-même. On peut établir un parallèle avec la messagerie d’entreprise, qui pose tant de soucis aux DSI : aujourd’hui la messagerie sert couramment au stockage de documents divers et variés, or ces documents sont pour ainsi dire perdus pour l’Entreprise en cas de départ d’un collaborateur… C’est bien l’usage détourné qui crée les risques dans ce cas, et non pas la mise à disposition de l’outil.
Enfin, on observe une tendance logique (bien que déraisonnable) à l’augmentation du contournement des DSI dans les entreprises. A un métier qui expose un besoin à sa DSI dans les règles, on répond un délai de X années et un budget de Y millions d’euros (à sa charge bien sûr). Le métier qui se tourne vers le dernier offreur de services dans le nuage à la mode se voit pour le même besoin offrir un délai de quelques minutes (en quelques clics, c’est fait), pour la modique somme de 12 euros par mois. Difficile d’hésiter longtemps quand j’ai besoin de produire ces chiffres pour avant-hier…

La solution parfois évoquée de logiciels alternatifs vous semble-t-elle pertinente ? S'agit-il au contraire d'une incompréhension des problématiques liées à Excel ?

Les logiciels alternatifs sont tout à fait pertinents d’un point de vue économique ! Quant aux aspects sécurité, dans l’entreprise, en général, l’utilisateur est responsable de toutes les données qui sont manipulées dans un cadre "bureautique". L’utilisateur ne se gène d’ailleurs en général pas pour mélanger allègrement la sphère privée et la sphère professionnelle dans ce cadre bureautique… et l’employeur ne l’en dissuade pas non plus !

Les logiciels alternatifs, tant qu’ils restent dans le domaine bureautique (le do-it-yourself de l’informatique…), sont nécessairement soumis aux mêmes pièges, puisque tant que la DSI n’assume pas la responsabilité du stockage ou des traitements sur une donnée, c’est bien l’utilisateur qui en reste responsable. Qui n’a jamais perdu une clé USB avec le document qu’il avait emmené chez lui pour travailler le week-end ? Qui n’a jamais été confronté à une erreur de manipulation et à l’effacement intempestif d’un fichier important ? Qui n’a jamais créé un magnifique outil avec Excel, passé des heures à peaufiner les formules, pour se rendre compte après publication des chiffres que le résultat était juste faux ?
Le même problème se pose d’ailleurs avec la tendance du BYOD (Bring Your Own Device) : si je manipule des données de mon Entreprise avec Numbers sur ma nouvelle tablette (que j’ai payée moi-même avec mes sous), et que pendant mon trajet vers mon lieu de travail je me fais voler ma tablette, j’y ai certes perdu. Mais ce sont bien les données de l’entreprise qui sont dans la nature, hors de tout contrôle de celle-ci !

Alors quelles sont les solutions pour éviter ces problèmes ou du moins pour limiter leurs effets ?

La première solution consiste à sensibiliser et à former les collaborateurs à la sécurité des systèmes d’information, et à les aider mieux qu’on ne le fait aujourd’hui à exprimer leurs besoins de sécurité. Puisque toutes les informations manipulées appartiennent en théorie à l’entreprise, on peut aussi rappeler aux utilisateurs qu’à partir du moment où ils n’utilisent pas les outils mis à disposition par l’entreprise, ils font rentrer les données dans une sphère "pseudo-privée", dans laquelle ils sont responsables de toutes les manipulations effectuées sur les données (et donc responsables en cas de fuite ou de vol, en cas d’erreur, en cas de perte, etc.).

La sensibilisation a ses limites cependant, et la solution à long terme consiste à faire en sorte que les besoins des métiers puissent être couverts dans des délais acceptables par la DSI. Dans les entreprises privées sous la tutelle de l’Etat, ou dont les activités évoluent rapidement, certaines DSI se sont organisées pour prendre en compte ce besoin d’évolutivité permanent, que ce soit sous une impulsion politique d’un ministre qui a décidé de modifier un taux de TVA ou de créer un type de contrat de travail sans vérifier la capacité du système informatique à suivre dans les délais, ou que ce soit pour répondre à une pression permanente du marketing qui souhaite communiquer sur de nouvelles offres demain matin. L’humain a tendance à percevoir les risques quand il est directement concerné, c'est-à-dire quand les conséquences pourraient l’impacter personnellement. Le professionnalisme, c’est aussi aller au-delà de cette perception des risques strictement personnelle, et tenir compte des conséquences de ses actions pour son entourage…
Commentaires

En raison de débordements, nous avons fait le choix de suspendre les commentaires des articles d'Atlantico.fr.

Mais n'hésitez pas à partager cet article avec vos proches par mail, messagerie, SMS ou sur les réseaux sociaux afin de continuer le débat !