Analyse

Cyber-résilience : clé de voûte pour survivre dans un cyberespace toujours plus menaçant et évolutif

Le 19 février 2021 par Clément Richet
Crédits : Freepik

La multiplication des cyberattaques et leur sophistication accrue contre les entreprises de toutes tailles ne font aucun doute aujourd’hui. D’une défense passive, fondée sur un modèle de sécurité périmétrique et manquant d’anticipation et de réaction, les organisations doivent acquérir une logique dynamique, en adéquation avec l’évolution des menaces pour continuer à faire fonctionner leurs activités vitales même en cas d’attaque. En d’autres termes, elle doit devenir cyber-résiliente.

Le premier des critères pour permettre à une organisation d’être cyber-résilience est la « security by design »

Il est indispensable pour les organisations d’envisager la sécurité dès le lancement d’un projet. Ce phénomène oblige les organismes à se préparer en conséquence face à cette menace systémique. D’autant plus que les attaques ont un impact négatif de plus en plus grave sur les organisations.La « security by design » ne doit pas seulement être envisagée pour les logiciels et leurs architectures, elle intègre également les IOT (internet of thing), autrement dit les imprimantes, PC, tablettes. Ces objets connectés qui apportent toujours plus de modularité dans les processus métier, sont également source de risques et augmentent la surface d’attaque possible des systèmes d’information. Ces objets connectés servent effectivement, par exemple, à effectuer des attaques par déni de service (DDoS) car mal sécurisés ou paramétrés. En témoigne l’exemple du Botnet Mirai qui, en 2016, s’est diffusé par l’intermédiaire de caméras de vidéosurveillance et a paralysé plusieurs heures des sites comme Paypal ou Twitter. Des outils numériques plus sûrs et robustes auront pour conséquence de réduire l’impact d’une attaque. De plus, la crise sanitaire a obligé les entreprises à se numériser encore davantage, parfois à marche forcée, non sans exposer le système d’information à des failles plus nombreuses. Cette numérisation doit impérativement s’accompagner d’un questionnement sur l’exposition aux menaces causées par les nouveaux comportements.

Une démarche proactive et innovante de la cybersécurité

L’idée selon laquelle la cybersécurité efficace passe avant tout par des barricades autour du système d’information n’a plus lieu d’être. Les organisations doivent aujourd’hui penser la cybersécurité comme une question stratégique et en faire un levier dynamique, manié en profondeur. L’idée est de se préparer en permanence à la survenance d’une attaque qui peut surgir de toute part. Comment ? Grâce à des capacités de réaction rapide et à des habitudes orientées sécurité (hygiène informatique). Ce comportement passe notamment par la mise en œuvre d’un plan de continuité d’activité, des exercices de gestion de crise pour sensibiliser les collaborateurs en cas d’incident majeur. Le plan de continuité d’activité (et un plan de continuité IT) doit anticiper tous les scénarios et envisager pour chacun d’eux, une réponse et une organisation spécifiques. Un travail de fond entre les métiers et les responsables de la sécurité des systèmes d’information doit permettre d’envisager les processus et actifs cruciaux de l’activité. Ces derniers devront alors faire l’objet d’une vigilance optimale et devront démarrer en priorité après crise. Cette proactivité est aussi synonyme d’audit de sécurité et de tests d’intrusion (physique et logique). Cela est d’autant plus vrai si l’organisme se place dans un secteur stratégique (énergie, défense, bancaire, etc), plus contraint par les régulateurs et plus visé par les pirates. Enfin, une démarche proactive doit nécessairement se baser sur un système de détection des menaces. Plus la détection est efficace, plus l’entreprise peut agir vite et prendre les bonnes décisions.

Le rôle accru des cyber-assurances

Les assurances protégeant des risques cyber sont un phénomène en pleine croissance. Pour autant, elles ne doivent pas faire perdre de vue l’objectif d’une organisation dans sa responsabilité face aux menaces cyber. Cette cyber-assurance permet aux entreprises de partager le risque entre l’entreprise et l’assureur. Les pertes financières liées à une attaque ont parfois pour conséquence la mort d’une organisation, notamment des PME. Autrement dit, ces assurances permettent de réduire l’impact financier d’une attaque et doivent donc être un complément à la politique de sécurité. Pour adapter au mieux cette assurance, l’organisation doit impérativement connaître son système d’information et les risques encourus dans une logique de gestion des risques cyber. Les cyber-assurances continueront dans le futur à se démocratiser. Elles ne concernent aujourd’hui essentiellement que les grands comptes.

Une indispensable coopération avec son écosystème devenu plus complexe

Il est devenu indispensable de travailler de concert avec l’écosystème de son organisation (tiers, clients, sous-traitant) qui amène également ses sources de risques. L’organisme est parfois victime par négligence de l’un de ses sous-traitants qui ne respecte pas l’hygiène de sécurité informatique minimale et qui est le point d’entrée d’un hacker vers sa cible : l’organisme. L’idée est donc de promouvoir une logique de cybersécurité à plus grande échelle via des formations (en fonction des outils de sécurité existants), des campagnes de sensibilisation afin de responsabiliser toutes les personnes qui participent directement ou indirectement à l’activité de l’entreprise. Pour porter un message efficace à travers tout l’écosystème, ces enjeux doivent évidemment être compris et pleinement intégrés au niveau stratégique, c’est-à-dire par la direction de l’organisme central.

Finalement, la cyber-résilience d’une organisation ne s’obtient pas uniquement par une politique de sécurité. Elle est le fruit d’une multitude d’actions logiquement combinées entre elles. Par définition proactive, en perpétuelle évolution par rapport au contexte, une cyber-résilience permettra à l’organisme d’être prêt en cas d’attaque, pour réduire l’impact lié à l’image ou au financier, etc.. Cette nouvelle approche de la cybersécurité est d’autant plus importante, que les attaques sont de plus en plus sophistiquées et que le risque de sanction qui pèse sur les entreprises en cas de fuite de données personnelles s’ajoute au reste. Les notions de cybersécurité et de cyber-résilience sont finalement liées. Alors que la première cherche à réduire les risques cyber, la deuxième part du constat que le risque zéro n’existe pas et cherche à réduire l’impact lors de la survenance quasi-inéluctable d’une attaque. L’idée est d’avoir en permanence une longueur d’avance sur les attaquants potentiels. La démocratisation de la cyber-résilience est un impératif pour toutes les organisations et doit permettre de combiner les efforts en matière de sécurité pour survivre en s’adaptant au cyberespace, un champ caractérisé par des menaces toujours plus sophistiquées, complexes à appréhender et aux effets dévastateurs. Cette résilience permettra aux clients, aux actionnaires et à l’écosystème d’être davantage confiant et à l’entreprise de préserver une image favorable, au-delà même de sa survie.

 

Clément RICHET, Club CYBER de l’AEGE

 

Pour aller plus loin

Partenaires