Cyber-résilience, une question d'anticipation
Pour la sécurité des systèmes d'information on pense souvent en terme de réactivité mais avec la recrudescence des attaques de ces dernières années, cette stratégie n'est plus suffisante. Il faut adopter une position plus proactive et qui ne couvre pas seulement les outils informatiques mais l'ensemble de la chaîne de production qui pourrait être impactée par une attaque informatique. Dans ce cas on ne parlera plus de PCA (Plan de Continuité d'Activité) mais de Cyber-résilience ou Business-Résilence. "Mieux vaut prévenir que guérir" , ce vieil adage résume bien cette nouvelle approche et l'anticipation est bien au cœur de cette problématique.
Même si la détection des risques potentiels est primordiale, une connaissance exhaustive des actifs informatiques, de son architecture et l'identification des risques est fondamentale. Le patch management (maintenir ses systèmes à jour) ainsi que le meilleur système de backup ne suffisent plus si on ne sait pas ce que l'on doit protéger.
En 2017 des grandes entreprises comme Renault ou Saint-Gobain, mais aussi de nombreuses PME ont découvert les risques d'une cyber-attaque de grande amplitude. On a pas eu à faire à seulement des comptes piratés, un site web inopérant mais à une quantité d'information primordiale pour le business et la production effacée ou rendu inaccessible par Wannacry, un ramsomware qui a crypté des milliers de disques dur rendant tout accès à l'information impossible.
Alors, que faire? Comment protéger son business ?
Il est illusoire de penser que l'on pourra tout protéger et éviter toute attaque de son système informatique, mais on peut fortement en réduire l'impact.
L'idée derrière la cyber-résilience, c'est d'essayer d'être un peu en amont de ce qui peut se passer. Au lieu de prévoir la continuité de service, on prend les devants pour anticiper la menace. On élargit la notion de continuité à l'ensemble du système informatique pour regarder l'ensemble des aspects. En complément d'un plan de secours qui va permettre de répondre à un sinistre, on va mettre en place des stratégies afin d'anticiper la menace et combler les brèches avant qu'elles ne soient exploitées.
Cinq grands axes peuvent définir ces stratégies : identifier, protéger, détecter, résoudre et restaurer qui sont peu ou prou les règles définies par la direction Network and Information Security adoptée par l'Union Européenne en 2016.
Au final, la cyber-résilience semble moins un bouleversement de la sécurité informatique qu'une évolution logique et nécessaire de la gestion du risque.
La cyber-résilience ne demande pas de nouveaux outils mais plus une modification de leur utilisation. Il ne faut plus penser seulement réactif mais aussi proactif. Il est important de faire une remise en cohérence de tous les éléments de sécurité existants.
Et si l'attaque a quand même eu lieu ?
Comme nous l'avons précisé plus haut, on ne peut pas tout prévoir et le risque zéro n'existe pas. Dans ce cas, pour la résolution des problèmes il s'agit moins d'outils mais plus de politique organisationnelle et de plans d'action.
Pour commencer, la première des questions à se poser est : d'où vient l'argent qui permet de faire vivre l'entreprise et où va t-il ? Il s'agit de distinguer les fonctions vitales de l'entreprise des autres afin de définir précisément les systèmes à protéger et à maintenir en priorité. Dans quelle mesure les métiers peuvent travailler sans informatique et pendant combien de temps?
Il n'y a rien de magique, un bon respect des bonnes pratiques d'hygiène de sécurité, investir dans la veille et la surveillance pour anticiper les menaces mais aussi s'entraîner aux gestions de crise éviteront les grands désastres.
La mise en conformité avec le RGPD est un très bon début : avec la cartographie de son système informatique, des processus, des liens entre applications et donnés participent à l'élaboration de plans d'urgence.
Dans les entreprise il est indispensable de se réunir une à deux fois par an au niveau de la direction pour faire un point sur ces menaces et les plans d'actions à mettre en place pour parer au maximum d'éventualités.
Il ne s'agit pas d'une problématique informatique seule mais ça implique l'ensemble des métiers de l'entreprise. La démarche doit donc être globale, ce qui implique un effort de sensibilisation de l'ensemble des organisations de l'entreprise.
Pascal BARATOUX