Tendances

Cyber-résillience : se protéger ne suffit plus

• Temps de lecture : 2 min
Cyber-résillience : se proteger ne suffit plus

La contrepartie de la transition numérique est une dépendance accrue aux systèmes d’information sans lesquels aucune entreprise ne peut plus fonctionner. Devant la multiplication des menaces et des risques auxquels sont exposés les systèmes et les données, la cyber-résilience devient un objectif prioritaire pour toute entreprise voulant protéger son intégrité, sa capacité à opérer et sa réputation.

La résilience est la capacité d’une organisation à surmonter un événement ou des conditions contraires en minimisant les conséquences de cet événement sur ses activités et processus vitaux. Alors que, dans tous les secteurs, les entreprises poursuivent leur transition numérique, elles doivent veiller non seulement à la sécurité de leurs actifs informatiques et numériques, mais aussi à leur capacité à rebondir rapidement en cas d’incident, de sinistre ou de cyber attaque. C’est tout l’objet, dans le prolongement d’une indispensable politique de cybersécurité, d’une démarche de cyber-résilience.

Plus que jamais indispensable : se protéger

La diversification des systèmes, la généralisation du cloud et des applications SaaS, la circulation des données et leur transformation par d’innombrables processus internes ou externes à l’entreprise rendent la tâche des DSI et des responsables de la sécurité des systèmes d’information (RSSI) de plus en plus ardue. Leur mission ne consiste en effet plus à sécuriser un périmètre bien délimité et quelques bases de données stockées sur des serveurs internes, mais à faire en sorte que les actifs cyber et informationnels de l’entreprise – données, systèmes, réseaux et processus afférents – soient protégés de manière appropriée contre des risques qu’ils ont pour première responsabilité d’identifier.

En matière de cybersécurité, tout le monde pense en premier lieu aux cyberattaques, en particulier aux attaques par ransomware dont le nombre a explosé ces dernières années, touchant absolument tous les types d’organisations : entreprises, services gouvernementaux, collectivités locales, universités, hôpitaux… Que leurs finalités soient politiques ou purement lucratives, les cybercriminels savent qu’aucune organisation ne peut fonctionner sans accès à ses données. De plus en plus organisés et disposant de moyens techniques considérables, ils sont d’autant plus enclins à accroître leurs exigences que 7 % des victimes* acceptent de payer la rançon demandée afin de débloquer l’accès à leurs données, d’éviter la divulgation de ces dernières et de pouvoir reprendre le cours de leurs activités.

Les risques cyber ne se limitent évidemment pas à ces types d’extorsions. Si l’on en parle moins, les attaques par déni de service distribué (DDoS), les opérations de phishing et autres malversations sont également très fréquentes et lourdes de conséquences. S’y ajoutent des risques impossibles à anticiper, touchant des fournisseurs de services dont de nombreuses entreprises sont dépendantes pour leurs activités en ligne. On se souvient par exemple de l’incendie qui a ravagé le datacenter strasbourgeois de l’hébergeur OVH en mars 2021 ou encore de l’interruption de service qu’a connue le CDN de Fastly en juin 2021, rendant indisponibles des milliers de sites et de services web dans le monde, avec tout ce que cela implique de pertes pour les entreprises et organisations concernées. Combien d’entre-elles avaient imaginé un tel scénario ? Combien avaient un plan de secours pour surmonter cette situation ?

Identifier et surtout quantifier les risques

Compte tenu de la nature globale et systémique des risques cyber, compte tenu aussi de leur caractère imprévisible, aucune entreprise ne peut faire l’économie d’une solide politique de sécurité fondée sur une analyse détaillée des risques auxquels elle est exposée du fait des systèmes, applications et données qu’elle utilise au quotidien.

C’est l’occasion de revenir ici sur la notion même de risque. En définissant le risque comme la fréquence probable et la grandeur probable d’une perte future pour l’organisation, les approches quantitatives issues du monde l’assurance permettent de recentrer les efforts de protection sur les actifs cyber et informationnels indispensables au fonctionnement de l’entreprise. Ces actifs vitaux ne sont pas toujours ceux qu’on croit ! Ainsi, toute entreprise pensera à protéger ses données et applications financières ainsi que sa base de données clients. Mais si vous êtes une entreprise de logistique, il y a de fortes chances que votre système le plus critique d’un point de vue opérationnel soit le serveur qui génère les étiquettes d’expédition. S’il « tombe » – du fait d’une attaque, d’une inondation de vos locaux ou, plus banalement, d’une panne matérielle, votre activité s’arrête purement et simplement. Savez-vous combien de temps votre entreprise peut le supporter sans se mettre en danger ? Savez-vous quel montant en euros vous risquez très concrètement de perdre si ce risque se matérialise ? Tous les RSSI le savent, la traduction en perte financière potentielle, directe et indirecte, éclairera d’un jour très différent pour une direction générale les dépenses de cybersécurité à engager pour protéger efficacement cet actif en particulier (solution anti-ransomware, règles d’accessibilité renforcées, redondance logicielle et matérielle, assurance spécifique, etc.)

Veiller aux basiques de la cybersécurité

Encore peu répandues, les approches quantitatives des risques cyber permettent de hiérarchiser les investissements de sécurité IT. Elles évitent en outre aux entreprises de s’armer contre des menaces qui sont certes dans l’air du temps, mais qui en réalité ne les concernent pas vraiment, soit parce qu’elles ne correspondent à aucun actif critique pour elles, soit parce que les règles élémentaires de la sécurité informatique ne sont pas appliquées en interne.

Toutes les études confirment que les utilisateurs sont le maillon faible des dispositifs de sécurité IT. Avant de déployer un arsenal défensif ou de contracter une coûteuse assurance contre les cyber risques, il est essentiel de s’assurer que les salariés de l’entreprise connaissent les bonnes pratiques et respectent les règles de base en matière de sécurité des mots de passe, d’ouverture de pièces jointes suspectes, de partage de données, de connexion à des services en ligne n’offrant pas toutes les garanties de sécurité, etc.

D’autre part, les données étant le nerf de la guerre, elles doivent faire l’objet d’une politique de sauvegarde rigoureuse couvrant l’intégralité des applications (y compris les applications métiers) et des serveurs, sans oublier les postes de travail qui hébergent souvent des informations et des données opérationnelles de première importance.

De la cybersécurité à la cyber-résilience

Si la cybersécurité a pour objet d’identifier, prévenir et minimiser les risques, la cyber-résilience effective d’une entreprise se mesure, a posteriori, à sa capacité à redémarrer dans les meilleurs délais ou, mieux, à continuer à opérer lorsque le risque s’est matérialisé. Cette aptitude ne s’improvise pas ! Elle se construit, se cultive et ne va pas sans la mise en place, pour l’ensemble des activités, d’un plan de reprise sur sinistre (ou DRP pour Disaster Recovery Plan) faisant intervenir deux notions fondamentales :