Le CLUSIF utilise une classification basée sur la nature "administrative" des risques, puisqu'il utilise les déclarations de sinistres comme point de départ pour ses études. Ce document étant destiné à des informaticiens et non à des statisticiens, nous adopterons une classification basée sur la nature "physique" des risques, puisque c'est d'elle que dépendent les actions préventives et curatives à mener.
Cette catégorie regroupe tous les sinistres comme les incendies, dégâts des eaux, explosions, catastrophes naturelles, etc. Certains de ces risques ne peuvent être raisonnablement pris en compte (ex. effondrement causé par la présence d'une ancienne carrière souterraine), d'autres peuvent être prévenus ou combattus (ex. incendie), l'informatique n'étant alors qu'un des aspects du problème. Enfin, des mesures simples permettent de limiter les conséquences de certains accidents (ex. si la salle informatique est située au premier étage, on évitera la perte du matériel en cas d'innondation, même si celle-ci ne peut être combattue).
On range dans cette catégorie les coupures de courant, de télécommunications, les ruptures de stocks de fournitures essentielles, etc. Il existe des moyens permettant de palier à ces problèmes, notamment la redondance, les techniques statistiques et les alarmes. Quelques exemples concrets :
Onduleur et éventuellement groupe électrogène doublant le réseau EDF
Liaison satellite doublant la ligne spécialisée
Choix de fournitures disponibles auprès de multiples sources (et pas seulement de multiples fournisseurs d'une seule source)
Programmation d'interventions ou de remplacements préventifs
Ces mesures ont évidemment un coût, mais lorsqu'il s'agit d'un service vital, ce coût est de très loin préférable aux conséquences d'une perte de service !
Remarquez que les pannes matérielles peuvent entrer dans cette catégorie : c'est évident pour les serveurs, mais les imprimantes d'une société de VPC ou d'affacturage peuvent également mériter certains égards !
Par contre une panne affectant un poste de travail banalisé n'a aucune importance : le remplacement d'un PC ne pose aucun problème et la panne n'affecte pas sérieusement la productivité de l'entreprise.
L'erreur est humaine et peut affecter tous les stades de l'activité informatique : analyse, conception, réalisation, mise en oeuvre, utilisation. Les conséquences des erreurs peuvent être désastreuses, surtout si elles sont restées longtemps inaperçues et qu'elles ont provoqué de graves pertes ou altérations de données.
L'établissement de procédures (de travail, de validation), le test et la validation des logiciels, l'adhésion à des groupes d'utilisateurs, la veille technologique, et plus généralement rigueur, bon sens et vérification croisée permettent de réduire les erreurs dans les étapes sur lesquelles on a une influence, mais on se trouve fort démuni face aux erreurs venant de l'amont (ex. bug "An 2000" dans un logiciel standard de comptabilité). En conclusion, une bonne assurance reste indispensable pour se prémunir contre les conséquences des erreurs.
Ces problèmes sont la plupart du temps marginaux, sauf dans les grandes entreprises, l'administration et les établissements d'enseignement où les vols ou dégradations sont généralement commis par les personnes fréquentant habituellement les lieux (personnel, étudiants).
Ces problèmes sont loin d'être propres à l'informatique et les solutions existantes sont simples :
Installation d'alarmes et de dispositifs de télésurveillance
Fixation du matériel au mobilier et verrouillage des boîtiers
Utilisation de cartes internes pour les clés électroniques
Utilisation de matériel spécifique anti-vandalisme
Soyons clairs : il n'est pas possible d'empêcher les fuites d'informations, seulement de les rendre difficiles, parfois de les détecter.