La résilience n’est pas un produit ou un service que vous pouvez acheter et déployer. C’est un état d’esprit à intégrer aux comportements managériaux, aux formations et au quotidien des entreprises. Il est, plus que jamais, important de l’adopter dans l’immédiat. La résilience doit être considérée désormais comme un avantage concurrentiel.
Cyber sécurité et résilience
L’erreur majeure que nous constatons sur le terrain est la confusion répandue entre la sécurité numérique et la résilience numérique. La sécurité consiste à ériger des ‘frontières’ dans un esprit de bloquer les attaques et pourquoi pas toutes les attaques ! La résilience consiste à admettre la possibilité d’un incident. D’abord parvenir à fonctionner en régime très dégradé puis à récupérer progressivement tout en assurant la continuité de l’activité.
Pour renforcer cette approche, il faudrait avoir une vision claire sur son propre écosystème, sa chaine de valeur ainsi que sa chaine d’approvisionnement afin d’en identifier les maillons les plus vulnérables. Dans une seconde étape il faut identifier les maillons essentiels quels que soient leurs niveaux de vulnérabilité. Ce travail d’identification des vulnérabilités facilite la rédaction des scenarii d’attaques éventuels avec les événements redoutés. L’identification des maillons critiques permet de cibler les services nécessitant une attention renforcée. Un travail d’implication de tous partenaires est à engager pour faire face ensemble aux menaces.
Nous conseillons de définir la résilience pour la Direction comme un enjeu global d’entreprise et non comme un problème de sécurité. Le défi est de changer les paradigmes. A titre d’exemple, le budget à allouer à la résilience devrait être perçu comme un investissement pour améliorer la compétitivité et non comme un coût supplémentaire pour renforcer la sécurité du SI ou se mettre en conformité par rapport à une réglementation. Une entreprise résiliente est un partenaire de confiance car les clients et les investisseurs sont de plus en plus avisés et sensibilisés sur les risques cyber. Qui voudrait investir ou lier un partenariat commercial avec une entreprise qui disparaitrait au premier incident cyber ? D’autre part, le renforcement de la résilience permet d’améliorer les processus de l’entreprise et participe donc aux démarches d’efficacité opérationnelle et de qualité au-delà de la gestion d’un risque d’attaque.
La résilience des données
Certes la sécurité de votre matériel informatique est un enjeu mais la résilience de vos données l’est encore plus.
Par essence, les outils informatiques ont pour objectif de manipuler des informations. Les données sont le plus souvent indispensables au fonctionnement de tous vos services informatiques. Il faut donc commencer ici. De plus pour des raisons techniques et humaines il est plus facile d’identifier les données plutôt que les processus, les applicatifs ou le matériel.
Après une cartographie de vos risques, nous vous conseillons de catégoriser la criticité de vos flux et stocks de données. La stratégie de résiliente des données est basée sur un équilibre entre des privilèges sélectifs avec des droits d’accès étendus et des droits d’accès limités. Les données sensibles ou critiques requièrent un contrôle étroit des accès en consultation ou en modification selon le type de donnée. Il est judicieux d’insister sur la protection de ces données sensibles avec un mécanisme cryptographique de chiffrement adapté à leurs criticités et à leurs utilisations.
La résilience des processus
Le déploiement d’une stratégie de résilience adopte une approche par processus abstraction faite des silos organisationnels. Il faudrait commencer par les processus métier vitaux tels que les ventes, la chaîne d’approvisionnement, la sécurité des biens et des personnes et les systèmes comptables. D’autre part, il faut aussi identifier les processus stratégiques tels que la recherche et développement ou le marketing.
Dans un premier temps, les processus métier vitaux doivent pouvoir fonctionner même en solution dégradée. Il est recommandé d’intégrer à ces processus des fonctionnalités telles que la redondance stratégique, les séquences alternatives et la segmentation des opérations qui permettent aux entreprises de survivre aux attaques et de gagner du temps pour limiter l’impact des incidents tout en poursuivant leurs activités.
D’autre part les processus stratégiques doivent suivre un traitement de conservation. Il n’est pas nécessaire de poursuivre l’activité mais il faut empêcher les fuites d’information ou les utilisations abusives des ressources. La capacité, à mettre à l’arrêt des services et à augmenter temporairement leurs niveaux de sécurité, est donc essentielle.
Un suivi permanent
Il faudrait garder à l’esprit que cette approche est progressive et nécessite pour avoir des résultats optimaux d’être vue comme un processus permanent.
La gestion des risques cyber nécessite, plus que les autres risques, un suivi méticuleux avec un tableau de bord constitué d’indicateurs lisibles. Les actions qui découlent de la lecture de ces indicateurs doivent être intelligibles pour tous les acteurs au sein de l’entreprise.
Les risques cyber évoluent dans le temps en fonction des technologies et les processus business qui s’imposent. Le tableau de bord donne régulièrement les feedback requis sur le niveau d’efficacité des mesures de sécurité déployées et leur adéquation aux menaces en vigueur. La mise en place et l’alimentation de ce tableau de bord pourrait être un vecteur pour orienter l’organisation vers une démarche d’amélioration continue de la sécurité avec une gouvernance appropriée instaurant des rôles, des responsabilités et une comitologie adaptée.
Il faut garder à l’esprit que l’alimentation de ce tableau de bord n’est pas une finalité en soi. Il est important de limiter l’impacte de cette collecte d’information sur les métiers au risque d’avoir un effet contraire à l’objectif.
Les mesures de sécurité sont déduites comme des tactiques préventives puis curatives débouchant sur un socle de renforcement de la résilience de l’organisation. Il faudra évaluer ses propres capacités techniques et financières pour faire face à une crise. Est-il possible de supporter seul les frais à engager pour gérer un incident ou faudrait-il de l’accompagnement sur le plan financier et/ou sur le plan technique ?
