Le diagnostic, clé de voute de la stratégie cyber

L'épidémie de Covid 19 a été un catalyseur puissant de la transformation digitale aussi bien des entreprises et collectivités, que des réseaux de crime organisés. Une situation qui pousse à passer d'une logique de cybersécurité à une logique de cyber-résilience.

Depuis 18 mois, le nombre de cyberattaques explose, les cibles sont de plus en plus larges et des secteurs à fort impacts socio-économiques sont aujourd’hui dans la ligne de mire des cyberattaquants. En effet, il suffit de voir la liste des hôpitaux attaqués en pleine épidémie de Covid, des collectivités, mais aussi la station d’épuration d’eau en Floride, ou l’arrêt des pipeline Colonial (privant alors toute la côte est américaine de carburant pendant une semaine) pour en conclure que toute organisation est désormais une cible potentielle et, compte-tenu de la fréquence d’attaques que nous subissons tous, tous les jours, qu’un incident cybersécurité majeur parait inévitable à tous.

Cette situation - des incidents devenus inévitables - nous appelle donc à changer notre perception de la sécurité numérique. En effet, il ne s’agit plus de simplement se protéger, nous devons assurer la reprise d’activité à la suite d’un incident majeur puisqu’il en va de la pérennité de l’entreprise. Il faut passer d’une logique de cybersécurité vers une logique de cyber-résilience.

La cyber-résilience, un élargissement de notre politique existante

Ce changement de logique n’est pas un changement radical mais une continuation naturelle.  Au-delà de la découverte et la gestion des failles contenues dans un système d’information (SI), et de veiller à les combler ou mieux les surveiller, il est indispensable d’anticiper leur exploitation par des acteurs malveillants et mettre en place les outils et les processus permettant de revenir à un fonctionnement nominal de l’organisation.

En effet, les attaques subies aujourd’hui, notamment par rançongiciel, ont pour objectif d’impacter les opérations et de mettre à mal, financièrement parlant, l’entreprise. Ce genre d’attaques, même s’il est limité dans son ampleur, peut arrêter complètement les opérations d’une entreprise pendant une durée conséquente. Par exemple, lors de l’attaque sur Colonial, un rançongiciel sur un simple serveur de facturation a entrainé l’arrêt total des activités ! Mais, si Colonial a su se relancer après cet épisode, d’autres entreprises, ne disposant pas des mêmes moyens financiers ont malheureusement fait faillite à la suite d’attaques similaires.

Un plan de résilience d’entreprise se met en place AVANT d’être attaqué. Il ne s’agit pas de tout réinventer, mais tout d’abord d’évaluer quelles sont les bonnes pratiques déjà mises en place en interne et quels sont les processus de diagnostic et contrôle déjà adoptés. On pourrait citer des framework comme celui du National Institute of Standards and Technology (NIST, l’équivalent de l’ANSSI aux Etats-Unis), qui est très répandu dans les contextes internationaux, ou bien le standard EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité), alternative française dans le domaine.

Si la cyber-résilience pousse à réfléchir "continuité d’activité", il faut également regarder ce qui existe déjà sur ce sujet spécifique du côté du DSI et notamment la gestion de production. Des standards comme ITIL (Information Technology Infrastructure Library) ou des framework comme IT4IT ont largement fait leurs preuves pour assurer le bon fonctionnement de SI complexes dans le passé et encore aujourd’hui. Avec l’avènement du cloud, ils sont peut-être moins d’actualité qu’il y’a quelques années mais demeurent une référence dans le domaine.

De plus en plus d’entreprises s’orientent vers une certification ISO 27001. La certification de conformité à cette norme exige la mise en place, le test, et l’amélioration continue de toute sécurisation d’un service informatique de bout en bout. Evidemment les processus de reprise d’activité ont la part belle dans cette certification.

La conformité, une obligation d’analyse complète

Au-delà du risque opérationnel, il faut également évaluer les risques qu’une attaque peut porter au niveau commercial, réputationnel (sur les courts, moyens et long termes) mais également, si cela s’applique à l’activité même de l’entreprise, en matière de conformité règlementaire. En effet, certaines lois et réglementations en vigueur comme le RGPD ou la directive NIS (Network and Information System Security) exigent certains processus et certaines communications vers des tiers sous peine de poursuites. Un plan de cyber-résilience nécessite des plans de gestion de crise sur ces quatre niveaux, mais également de prendre en compte les différents types de sinistres que l’entreprise pourrait subir en cas d’attaque : la perte des systèmes (via sabotage) et/ou la perte des données (via une fuite ou une destruction).

Les règlementations (RGPD…) et normes (ISO 27001…) exigent ainsi la prise en compte de ces aspects également au niveau des sous-traitants. Même si elle fait le choix d’une externalisation chez un partenaire hébergeur ou vers le cloud, l’entreprise reste garante de la conformité à sa propre politique de cyber-résilience. Il faut donc avoir une compréhension claire des responsabilités de chaque maillon de la chaine de valeur opérationnelle et que chaque sous-traitant devienne un partenaire clé de la résilience de l’organisation. Ce changement culturel se construit en amont dans les critères de choix de prestataires, ainsi que les autorisations de contrôle et d’audits que l’entreprise a de leurs systèmes et processus internes. Un vrai travail de gouvernance s’impose.

La cyberguerre s’intensifie et se mène sur de multiples fronts. Même si, aujourd’hui les organisations ont pris conscience des enjeux et de l’urgence, il faut désormais qu’un plan de cyber-résilience soit au cœur de la stratégie de l’entreprise : tout outillage tactique et processus déployé doit apporter une réponse à un risque, ou une obligation, bien étayé dans un plan de gestion de risque, lui-même construit sur des bases diagnostiques saines propres à chaque situation.