Tendances

Cyber-résillience : se protéger ne suffit plus

La contrepartie de la transition numérique est une dépendance accrue aux systèmes d’information sans lesquels aucune entreprise ne peut plus fonctionner. Devant la multiplication des menaces et des risques auxquels sont exposés les systèmes et les données, la cyber-résilience devient un objectif prioritaire pour toute entreprise voulant protéger son intégrité, sa capacité à opérer et sa réputation.

La résilience est la capacité d’une organisation à surmonter un événement ou des conditions contraires en minimisant les conséquences de cet événement sur ses activités et processus vitaux. Alors que, dans tous les secteurs, les entreprises poursuivent leur transition numérique, elles doivent veiller non seulement à la sécurité de leurs actifs informatiques et numériques, mais aussi à leur capacité à rebondir rapidement en cas d’incident, de sinistre ou de cyber attaque. C’est tout l’objet, dans le prolongement d’une indispensable politique de cybersécurité, d’une démarche de cyber-résilience.

Plus que jamais indispensable : se protéger

La diversification des systèmes, la généralisation du cloud et des applications SaaS, la circulation des données et leur transformation par d’innombrables processus internes ou externes à l’entreprise rendent la tâche des DSI et des responsables de la sécurité des systèmes d’information (RSSI) de plus en plus ardue. Leur mission ne consiste en effet plus à sécuriser un périmètre bien délimité et quelques bases de données stockées sur des serveurs internes, mais à faire en sorte que les actifs cyber et informationnels de l’entreprise – données, systèmes, réseaux et processus afférents – soient protégés de manière appropriée contre des risques qu’ils ont pour première responsabilité d’identifier.

En matière de cybersécurité, tout le monde pense en premier lieu aux cyberattaques, en particulier aux attaques par ransomware dont le nombre a explosé ces dernières années, touchant absolument tous les types d’organisations : entreprises, services gouvernementaux, collectivités locales, universités, hôpitaux… Que leurs finalités soient politiques ou purement lucratives, les cybercriminels savent qu’aucune organisation ne peut fonctionner sans accès à ses données. De plus en plus organisés et disposant de moyens techniques considérables, ils sont d’autant plus enclins à accroître leurs exigences que 7 % des victimes* acceptent de payer la rançon demandée afin de débloquer l’accès à leurs données, d’éviter la divulgation de ces dernières et de pouvoir reprendre le cours de leurs activités.

Les risques cyber ne se limitent évidemment pas à ces types d’extorsions. Si l’on en parle moins, les attaques par déni de service distribué (DDoS), les opérations de phishing et autres malversations sont également très fréquentes et lourdes de conséquences. S’y ajoutent des risques impossibles à anticiper, touchant des fournisseurs de services dont de nombreuses entreprises sont dépendantes pour leurs activités en ligne. On se souvient par exemple de l’incendie qui a ravagé le datacenter strasbourgeois de l’hébergeur OVH en mars 2021 ou encore de l’interruption de service qu’a connue le CDN de Fastly en juin 2021, rendant indisponibles des milliers de sites et de services web dans le monde, avec tout ce que cela implique de pertes pour les entreprises et organisations concernées. Combien d’entre-elles avaient imaginé un tel scénario ? Combien avaient un plan de secours pour surmonter cette situation ?

Identifier et surtout quantifier les risques

Compte tenu de la nature globale et systémique des risques cyber, compte tenu aussi de leur caractère imprévisible, aucune entreprise ne peut faire l’économie d’une solide politique de sécurité fondée sur une analyse détaillée des risques auxquels elle est exposée du fait des systèmes, applications et données qu’elle utilise au quotidien.

C’est l’occasion de revenir ici sur la notion même de risque. En définissant le risque comme la fréquence probable et la grandeur probable d’une perte future pour l’organisation, les approches quantitatives issues du monde l’assurance permettent de recentrer les efforts de protection sur les actifs cyber et informationnels indispensables au fonctionnement de l’entreprise. Ces actifs vitaux ne sont pas toujours ceux qu’on croit ! Ainsi, toute entreprise pensera à protéger ses données et applications financières ainsi que sa base de données clients. Mais si vous êtes une entreprise de logistique, il y a de fortes chances que votre système le plus critique d’un point de vue opérationnel soit le serveur qui génère les étiquettes d’expédition. S’il « tombe » – du fait d’une attaque, d’une inondation de vos locaux ou, plus banalement, d’une panne matérielle, votre activité s’arrête purement et simplement. Savez-vous combien de temps votre entreprise peut le supporter sans se mettre en danger ? Savez-vous quel montant en euros vous risquez très concrètement de perdre si ce risque se matérialise ? Tous les RSSI le savent, la traduction en perte financière potentielle, directe et indirecte, éclairera d’un jour très différent pour une direction générale les dépenses de cybersécurité à engager pour protéger efficacement cet actif en particulier (solution anti-ransomware, règles d’accessibilité renforcées, redondance logicielle et matérielle, assurance spécifique, etc.)

Veiller aux basiques de la cybersécurité

Encore peu répandues, les approches quantitatives des risques cyber permettent de hiérarchiser les investissements de sécurité IT. Elles évitent en outre aux entreprises de s’armer contre des menaces qui sont certes dans l’air du temps, mais qui en réalité ne les concernent pas vraiment, soit parce qu’elles ne correspondent à aucun actif critique pour elles, soit parce que les règles élémentaires de la sécurité informatique ne sont pas appliquées en interne.

Toutes les études confirment que les utilisateurs sont le maillon faible des dispositifs de sécurité IT. Avant de déployer un arsenal défensif ou de contracter une coûteuse assurance contre les cyber risques, il est essentiel de s’assurer que les salariés de l’entreprise connaissent les bonnes pratiques et respectent les règles de base en matière de sécurité des mots de passe, d’ouverture de pièces jointes suspectes, de partage de données, de connexion à des services en ligne n’offrant pas toutes les garanties de sécurité, etc.

D’autre part, les données étant le nerf de la guerre, elles doivent faire l’objet d’une politique de sauvegarde rigoureuse couvrant l’intégralité des applications (y compris les applications métiers) et des serveurs, sans oublier les postes de travail qui hébergent souvent des informations et des données opérationnelles de première importance.

De la cybersécurité à la cyber-résilience

Si la cybersécurité a pour objet d’identifier, prévenir et minimiser les risques, la cyber-résilience effective d’une entreprise se mesure, a posteriori, à sa capacité à redémarrer dans les meilleurs délais ou, mieux, à continuer à opérer lorsque le risque s’est matérialisé. Cette aptitude ne s’improvise pas ! Elle se construit, se cultive et ne va pas sans la mise en place, pour l’ensemble des activités, d’un plan de reprise sur sinistre (ou DRP pour Disaster Recovery Plan) faisant intervenir deux notions fondamentales :

le RTO (Recovery Time Objective)

c’est-à-dire le temps durant lequel les ressources informatiques critiques – internes et externes – peuvent être indisponibles avant que cela n’affecte de manière significative les opérations et donc les revenus de l’entreprise ;

le RPO (Recovery Point Objective)

qui désigne la durée maximale d’enregistrements de données que l’entreprise peut se permettre de perdre en cas de sinistre.

Il n’est pas inutile de rappeler qu’un plan de reprise n’est pas un exercice théorique. Pour remplir pleinement son office, il doit être actualisé régulièrement pour prendre en compte les évolutions de l’environnement IT. Il doit également être périodiquement testé afin de vérifier que les procédures de restauration ainsi que les RTO et RPO prédéfinis sont réalistes.

Enfin, dans un contexte où pratiquement toutes les entreprises font appel à des applications SaaS et à des solutions de stockage/partage de fichiers hébergées dans le cloud, il est indispensable d’inclure ces ressources externes dans le DRP. L’entreprise doit pour cela s’assurer auprès de ses fournisseurs/éditeurs qu’ils prennent eux-mêmes toutes les mesures nécessaires pour garantir la disponibilité de leurs services, protéger les données qui leur sont confiées et les restaurer dans des délais compatibles avec ceux de l’entreprise.

>> En tant qu’éditeur de solutions SaaS utilisées au quotidien par des milliers de professionnels, Nomadia est engagé dans une démarche de cyber-résilience qui protège ses clients et qui contribuent à leur propre résilience. Notre groupe s’appuie sur une infrastructure cloud basée sur le territoire européen, des procédures de contrôle et une politique de sauvegarde qui lui permettent de s’engager sur la haute disponibilité de ses applications et sur un RPO maximum de 24 heures.

Pour en savoir plus sur notre infrastructure technique et sur la manière dont nous protégeons vos applications et vos données, contactez un de nos experts !

 

*Source : Hornetsecurity, The 2022 Ransomware Attacks Analysis