Face à la multiplication des vulnérabilités et à la complexification des cyberattaques, la question n’est plus de se demander si votre organisation va être attaquée, mais plutôt quand… Et, soumise à une attaque, si elle sera en mesure de poursuivre son activité sans difficulté. C’est tout l’enjeu de la cyber résilience. Explications.
Admettre la fragilité du cyberespace…
Pendant près de vingt ans, nous avons parlé de cybersécurité, puis de cyber protection, pour désigner l’ensemble des moyens permettant de protéger les actifs de l’entreprise.
Or, le paysage a beaucoup évolué depuis. Internet, toujours plus rapide, s’est démocratisé et la transformation numérique infuse toutes les organisations. Celles-ci sont exposées à un risque systémique plus important du fait de leur dépendance à de nombreux fournisseurs de services.
Chaque jour, la découverte de nouvelles vulnérabilités rend cet écosystème de plus en plus (cyber) fragile. Leur suivi exhaustif impliquerait une veille trop coûteuse en ressources humaines et financières. La cyberattaque deviendrait donc inéluctable ? Et ouvrirait la voie à un nouveau paradigme, celui de la cyber résilience.
… sans pour autant s’y résoudre
Loin d’être fataliste, cette approche « résiliente » vise à agir pour réduire au minimum l’impact d’une cyberattaque sur les opérations de l’entreprise. La cybersécurité reste une dimension essentielle mais intégrée dans une véritable approche systémique qu'est la cyber résilience. Il s’agit de s’assurer que l’entreprise continuera à fonctionner, même en mode dégradé, à la suite d’une panne, d’un dysfonctionnement ou d’une offensive. Une continuité d’activité garantie par cinq piliers : identifier, protéger, détecter, réagir et récupérer.
Les premiers pas d’une organisation cyber résiliente
Mais devenir cyber résilient n’est pas une mince affaire. Tout d’abord, il faut que le constat de l’inéluctabilité d’une crise numérique soit partagé et accepté au sein de l’entreprise. Cette compréhension de l’environnement est particulièrement importante au niveau du comité exécutif, car il incombe à celui-ci d’allouer les ressources nécessaires à la mise en œuvre de la cyber résilience. En plus d’actions de base (comme réaliser des sauvegardes régulières), certaines pistes sont à privilégier.
Vérifier la conformité réglementaire
Comme point de départ, il convient de vérifier la conformité réglementaire de l’organisation et de renforcer son Plan de Continuité d’Activité (PCA) existant par un volet cyber.
Attention, il ne s’agit pas d’une démarche ponctuelle : les mécanismes de cyber résilience doivent être actualisés et testés régulièrement. D’un côté, les menaces évoluent et de l’autre, l’entreprise se transforme : un nouveau projet métier peut par exemple augmenter le risque cyber et, s’il n’a pas été identifié comme tel, mettre en échec les efforts de cyber résilience.
Prendre en compte la dimension humaine
La dimension humaine s’avère ainsi déterminante. En plus de partis pris technologiques orientés vers le security by design et l’automatisation, l’entreprise doit pouvoir compter sur des équipes sensibilisées et réactives. Quitte à réapprendre les modes opératoires manuels, voire retravailler sur papier !
Responsabiliser ses partenaires
Il convient également de s’appuyer sur les bons partenaires, qui doivent eux-aussi être sensibilisés à la crise numérique. Ou encore mieux, responsabilisés : dans l’esprit du règlement général sur la protection des données (RGPD), l’idée serait de contractualiser les responsabilités en matière de cyber résilience avec sa chaîne logistique.
Favoriser le partage d’informations
Enfin, il est primordial de penser à communiquer au-delà de l’obligation légale en cas de cyberattaque. Il s’agit non seulement de suivre l’actualité des experts (ANSSI, CERT, etc.), mais également d’échanger avec ses pairs. Parler de ces sujets avec son écosystème, ses investisseurs et même ses clients participe au renforcement de la confiance. Aujourd’hui, une entreprise préparée, qui investit dans sa cybersécurité et dans sa cyber résilience, a une vraie valeur.
Comme tout processus de gestion de crise, la cyber résilience doit être mise en place en amont des incidents qu’elle doit permettre de surmonter. En phase avec un environnement numérique où s’échangent chaque jour plus de données, cette nouvelle perspective repose sur une approche systémique, entre prise de conscience générale, partage d’informations entre acteurs et sélection des bons outils de cybersécurité, indispensables comme première barrière de protection.
