« Il y a deux sortes d’entreprises : celles qui ont déjà été piratées et celles qui ne le savent pas. » Souvent sous-estimés, les dégâts infligés par les attaques cyber peuvent s’avérer fatals pour les entreprises. Dès lors, deux stratégies se challengent pour assurer votre survie : continuité d’activité et résilience opérationnelle.
« Il y a deux sortes d’entreprises : celles qui ont déjà été piratées (par le cyber) et celles qui ne le savent pas » (Kempf, 2015, p. 153)
La crise cyber est inévitable, elle finira par subvenir. Le rapport de force est asymétrique entre cyberattaquants et cyberdéfenseurs. Anticiper et préparer la crise relève de l’indispensable pour aborder plus sereinement les tumultes futurs. La France et son écosystème public et privé autrefois en retard dans le domaine tend à développer un écosystème plus résilient.
Deux stratégies de survie se mettent en place : la continuité d’activité et la résilience opérationnelle. Ces deux stratégies reflètent une structuration différente de l’entreprise ainsi qu’une maturité certaine face à un événement disrupteur. Connaître et maîtriser la différence entre ces deux approches s’impose face à la menace des rançongiciels (logiciels malveillants provoquant un blocage des systèmes informatiques) afin d’éclairer la stratégie de survie d’une entreprise au regard de sa stratégie business.
La continuité d’activité : la survie opérationnelle du « fluctuat nec mergitur »
Depuis les années 1980, les entreprises françaises, sous l’égide de l’État, ont professionnalisé une première approche des outils de survie : la continuité d’activité. Développée d’abord par les industries lourdes anglo-saxonnes afin de garantir leur système productif en cas de crise majeure, cet outil ne s’est timidement imposé en France que dans les années 2000 via le secteur financier. En 2005, le « Groupe de place Robustesse » commence déjà à réfléchir aux conséquences d’un événement majeur venant impacter la place financière et boursière parisienne.
Principalement testé dans le cadre d’inondations majeures à Paris, ce système devient une obligation légale pour les entreprises de la finance en 2005 dans la modification du règlement n°97-02 du Comité de la réglementation bancaire et financière du 21 février 1997 : « Plan de continuité de l’activité : ensemble de mesures visant à assurer, selon divers scénarios de crises, y compris face à des chocs extrêmes, le maintien, le cas échéant de façon temporaire selon un mode dégradé, des prestations de services essentiels de l’entreprise puis la reprise planifiée des activités ».
Aujourd’hui la plupart des grands groupes français disposent de systèmes de continuité d’activité afin d’assurer, notamment pour leur service vis-à-vis de leurs clients, une qualité optimale. Autrement dit, la continuité vise à assurer les services critiques d’une entreprise pendant un temps limité afin d’assurer sa survie face à une perturbation. Cette stratégie implique de facto un abandon de très nombreuses activités. Une assurance, en cas d’activation de son plan de continuité d’activité (PCA), devra assurer ses services les plus critiques pour ses clients comme les obligations de santé. Toutefois, l’ensemble des autres demandes non essentielles seront soit non enregistrées soit traitées avec des délais rallongés. En mode dégradé, aucun nouveau contrat ne sera signé faute de pouvoir accéder à la base clients et aux besoins métiers.
La continuité d’activité se résume à « plier mais ne pas rompre », c’est-à-dire survivre à une crise tout en acceptant une forte part d’effets délétères pour la société.
« La continuité d’activité est une philosophie d’entreprise qui consiste à préparer la guerre en temps de paix » (Témoignage de Huberson S., Vraie B., 2015)
La résilience opérationnelle : vers une nullité des effets d’une crise ?
La résilience, à l’inverse de la continuité d’activité, vise un tout autre objectif : le maintien en condition opérationnelle des activités. La résilience se démarque de la continuité d’activité dans sa capacité à faciliter l’absorption d’une crise par la structure. C’est un tout autre choix stratégique pour l’entreprise qui vise un maintien de la presque totalité de ses services au cœur de la tempête.
La Bank of England caractérise cette notion comme « la capacité des entreprises et du secteur financier dans son ensemble, à prévenir, s’adapter, répondre et apprendre d’incidents opérationnels ». Toutefois, cette capacité implique à la fois une organisation particulière et une capacité de réflexivité. L’entreprise doit pouvoir s’auto-évaluer constamment, viser l’innovation constante autant technique que métier et surtout plus investir dans une logique de résilience que de continuité d’activité. La résilience opérationnelle relève d’une stratégie globale de la structure avec pour finalité de conserver le business à tout prix. C’est un choix fort avec des implications toutes aussi importantes.
La continuité d’activité n’est pas la première étape de la résilience. Ces deux systèmes de management des capacités opérationnelles impliquent des finalités et des budgets différents.
Le risque cyber doit-il être pensé en termes de continuité d’activité ou de résilience ?
Cette problématique émerge avec la possibilité de déterminer un périmètre et un délai d’indisponibilité à la suite d’une attaque cyber. En concertation avec les équipes informatiques, la somme des indisponibilités et des temps de reconstruction, il est possible de définir un premier périmètre temporel d’une crise type rançongiciel.
La gestion de la pandémie a changé la façon de penser le maintien en capacité opérationnelle de nombreux dirigeants. La doxa se résume ainsi : si une pandémie mondiale a pu être traitée avec résilience, il doit en être de même pour un sinistre cyber. La mise en place d’un système de résilience demande la mise en place d’importants projets visant à améliorer la connaissance métier. Ce projet implique de modifier les paradigmes de gestion des risques.
La continuité d’activité permet de maintenir les activités essentielles pendant une crise pour rapidement revenir en mode nominal. C’est une politique efficace qui répond à des objectifs précis : survivre à une crise en limitant les impacts clients, financiers et réglementaires. Cela demande d’importants moyens pour le maintien en condition opérationnelle sans pour autant être un budget majeur pour une entreprise. Une équipe réduite de responsables de la continuité d’activité au niveau groupe, animant un réseau de correspondants, peut facilement assurer une bonne prise en charge de la continuité d’activité tout en innovant.
À l’inverse, la résilience impose de plus importants moyens aussi bien budgétaires, humains que techniques. En plus des activités classiques d’un PCA, il convient d’assurer la majeure partie des activités du groupe face à une multitude de sinistres et incidents. Un service de veille risque doit être mis en place pour alimenter l’anticipation tout en assurant un suivi quotidien des indicateurs de continuité. La capacité à faire force a déployé plus de moyens que pour un PCA tout en continuant à investir pour suivre l’évolution du risque.
De très nombreuses entreprises pratiquent ces deux formes de gestion des risques, souvent sans le formaliser. Les sinistres majeurs sont traités sous l’angle de la continuité d’activité. En effet, pour faire face à un sinistre majeur les solutions de résilience peuvent vite être non viables économiquement et coûter extrêmement cher à une entreprise. Néanmoins, ces mêmes entreprises traitent les incidents de tout type avec des logiques de résilience empruntées aux différents PCA.
Les années 2020 ont profondément changé le regard des entreprises face aux risques opérationnels. Auparavant considérés comme le parent pauvre des risques, certains risques opérationnels, comme le risque cyber, sont devenus aujourd’hui aussi impactants que les risques financiers.
La dépendance à l’informatique est une réalité inextricable des processus métiers. Le retour en arrière est impossible, d’autant plus dans un contexte de télétravail en situation nominale tandis que le risque cyber ne cesse d’augmenter. Pour la cinquième année d’affilée, France Assureurs a classé le risque cyber comme la première préoccupation des entreprises françaises. Les entreprises s’appuyant sur le numérique voient leur exposition augmentée. Désormais, une crise cyber représente un risque majeur au niveau du groupe, pouvant entraîner une faillite. Le cadre de la gestion de l’incident technique est dépassé et les paradigmes de pensée doivent évoluer.
Les Plan de Continuité d’Activité développent une approche particulière du risque cyber en cherchant à la définir dans sa version la plus violente. Cette scénarisation permet de définir un périmètre encadrant la crise tout en évaluant l’indisponibilité. Cette connaissance de la crise en l’encadrant par le scénario du pire permet de réduire l’incertitude en créant des outils pratiques et opérationnels pendant une crise. Le Plan de Continuité d’Activité permet ainsi de limiter l’incertitude et d’augmenter la survie d’une entreprise à la crise.
Toutefois, la résilience ne se place pas forcément comme l’étape logique de la prise en charge du risque cyber. C’est une politique de gestion des risques spécifique impliquant un choix de stratégies particulières. Il appartient à chaque entreprise de connaître son risque et de définir son plan de réponses en fonction de ses besoins.
Pour résumer, la continuité d’activité se concrétise par un filet de sauvetage des activités critiques de l’entreprise, venant assurer le cœur de métier essentiel à sa survie. C’est une stratégie limitant les coûts mais limitée dans sa force de réponse face à une crise. À l’inverse, la résilience opérationnelle vise l’intégrité presque totale des activités face à n’importe quelle situation. Cela implique une évolution fonctionnelle et organisationnelle profonde en repensant tous les processus métier. Les deux stratégies représentent un choix profond d’organisation reflétant le niveau d’anticipation et de préparation d’une entreprise face aux aléas. Et vous, êtes-vous prêt à une crise cyber et quelle est votre stratégie de survie ?
Club Risques de l’AEGE
Pour aller plus loin :