La cyber-résilience, entre cybersécurité et gestion du risque stratégique

Ils savent profiter de la moindre faille technique ou humaine dans les vastes écosystèmes connectés que tissent le cloud, le télétravail et les échanges quotidiens avec les fournisseurs, les clients et les partenaires. En somme, les entreprises ont de plus en plus à perdre, et de plus en plus de risques de perdre.

Face à de telles menaces, on ne peut tout miser sur une approche préventive. Même avec les technologies les plus en pointe, même avec les procédures les plus strictes, le risque zéro n’existe pas. L’entreprise sera attaquée, c’est une absolue certitude. Toute la question est de savoir comment elle réagira. L’organisation doit anticiper les événements et se préparer pour être en mesure, le moment venu, de réduire les risques et de reprendre au plus vite le cours de son activité. Tels sont les enjeux de la cyber-résilience.

Quid de la cyber-résilience

La cyber-résilience, complément indispensable à la cybersécurité

La cyber-résilience ne remet donc pas en question les approches traditionnelles de la cybersécurité, qu’elle soit périmétrique ou en profondeur ; elle les complète. Pour défendre la richesse de l’entreprise, il est bien sûr primordial de mettre en place des barrières solides, mais la responsabilité exige de s’interroger sur ce qui arriverait si certaines d’entre elles cédaient. Comment défendre le terrain désormais ouvert, incomplet ou compromis ? Comment s’assurer, avant de restaurer ses protections, que toute menace a été éradiquée ? Comment évaluer les dégâts techniques, financiers, humains, réputationnels, reconstruire ce qui a été endommagé, et corriger ce qui devrait l’être ?

Notons ici que la crise n’est pas toujours un événement brutal et spectaculaire. Particulièrement dans le contexte géopolitique actuel, elle peut être larvée, insidieuse. La cyber-résilience doit aussi prendre en compte ces évolutions et s’intégrer à des approches de Threat Intelligence et de Threat Hunting. Il faut être capable de s’adapter de façon proactive lorsque des signaux faibles suggèrent que tout ne se passe pas comme prévu. Autrement dit, on doit aussi envisager le cas où la barrière est toujours en place, mais où l’on commence à douter de son efficacité.

Cette analogie avec la sécurité dans le monde réel n’est pas qu’illustrative. Les deux dimensions physiques et numériques se rejoignent dans les démarches, jusque dans la norme ISO 22301 « Sécurité et résilience » où elles sont traitées conjointement. Par ailleurs, certains risques du monde réel peuvent avoir des impacts majeurs sur l’IT (incendies, inondations, terrorisme…) et entrent de ce fait dans le périmètre de la cyber-résilience. Bien souvent, la rigueur avec laquelle une organisation aborde sa cyber-résilience va de pair avec sa culture interne du risque, qu’il soit industriel, financier ou réglementaire. En revanche, la mise en œuvre nécessite d’autres compétences, IT notamment, ce qui passe par la constitution d’équipes pluridisciplinaires, intégrant des compétences métiers, transverses et techniques.

Revenir à l’essentiel pour assurer la survie de l’entreprise

Il existe plusieurs méthodes pour définir sa politique de cyber-résilience, mais toutes reviennent en définitive à s’interroger sur l’essentiel : qu’est-ce qui est vital pour l’exercice de mon métier ? de quoi ai-je impérativement besoin pour continuer à fonctionner sans mettre en jeu la sécurité des biens et des personnes ? quel est désormais le pire qu’il puisse m’arriver ? La teneur de ces questions montre que la résilience, cyber ou non, doit se penser très en amont et au plus haut niveau parce qu’elle est étroitement liée à la stratégie, et qu’elle implique des décisions et des choix très forts. La cyber-résilience relève de la gestion du risque stratégique car, en envisageant les pires scénarios (et leurs degrés de vraisemblance), on va définir des actions qui ne visent rien de moins qu’à garantir la survie de l’entreprise.

Parmi ces actions, il y a bien entendu un important volet technique : sauvegardes, sites de repli… Mais cela va bien au-delà. Les plans de cyber-résilience vont faire apparaître de nouveaux rôles et de nouvelles exigences pour les collaborateurs, comme des astreintes, des formations, des exercices… Il va aussi falloir mettre en place une organisation et des processus afin de ne pas perdre un instant en cas de crise et prendre au plus vite les mesures appropriées. Parmi les actions clés, anticiper la constitution des cellules de crise, qu’elles soient de décision, opérationnelle, ou d’investigation ; réfléchir à la communication, qui sera capitale ; prévenir les impacts sur les collaborateurs. Seront-ils prêts à travailler différemment le temps que la crise soit résolue ? Seront-ils équipés pour le faire et entraînés à le faire ? Il y a donc un très gros chantier d’accompagnement humain à mener.

Renforcé par le digital, le maillage avec les partenaires est une autre dimension clé qu’il est impératif de prendre en compte. L’entreprise est de plus en plus étroitement connectée à son écosystème, de sorte que les impacts d’une crise se propagent vite et loin sur les chaînes de valeur. La cyber-résilience devient une affaire collective qui nécessite collaboration et coordination. À cet égard, la pandémie a certainement été un électrochoc pour beaucoup de grands industriels qui abordent désormais ces questions avec leurs fournisseurs.

Le secret, c’est l’entraînement

Enfin, un point sur lequel on ne saurait trop insister : l’importance d’éprouver les solutions préconisées. Le secret de l’efficacité en période de crise, dans l’urgence et sous une tension extrême, c’est l’entraînement. Il faut régulièrement mettre l’organisation à l’épreuve au travers d’exercices qui peuvent aller du simple test technique unitaire à la simulation grandeur nature, en passant par l’exercice sur table. Quelle que soit leur ampleur, ces exercices permettent de monter en maturité en détectant systématiquement des points d’amélioration, des situations imprévues ou des réponses inadaptées. Les détails logistiques ou pratiques comme l’acheminement des personnes ou l’accès aux locaux, en sont un exemple récurrent.

La cyber-résilience relève de la façon dont chaque entreprise perçoit et gère ses risques, mais elle s’inscrit dans un environnement de plus en plus encadré. Le législateur est donc susceptible d’imposer des règles en matière de cyber-résilience, ou de les renforcer. A l’image des exigences auxquelles sont déjà soumises certaines catégories d’entreprises, comme les Opérateurs d’Importance Vitale et de Services Essentiels ainsi que certains secteurs d’activité, tel que les services financiers. C’est le sens du projet de directive DORA (Digital Operations Resilience Act), élaboré par l’Union Européenne avant même la guerre en Ukraine. Des garanties similaires pourraient aussi être demandées par des assureurs en contrepartie de la couverture du cyber-risque, ou par de grands donneurs d’ordre, soucieux de sécuriser leurs opérations. Mieux vaut donc prendre les devants, et en percevoir les bienfaits en termes de continuité d’activité, avant que ce ne soit une obligation.

Longtemps, la cyber-résilience a été un sujet d’experts, qui en avaient une approche essentiellement informatique, axée sur la sauvegarde et la restauration. Mais avec la place qu’occupe désormais le numérique dans l’entreprise, c’est un enjeu existentiel qui doit être traité au sommet. Cette évolution nécessite un accompagnement ad hoc, capable d’appréhender la globalité des questions, depuis les dimensions stratégiques jusqu’aux dispositifs techniques à mettre en œuvre et à la mobilisation d’équipes d’intervention rapide.

Trois points à retenir :

• Essentiellement préventives, les approches traditionnelles de la cybersécurité n’envisagent pas toutes les conséquences d’une cyber-attaque ou d’un événement redouté sur l’activité de l’entreprise. C’est cet angle mort que vient couvrir la cyber-résilience.

• La cyber-résilience relève de la gestion du risque stratégique car il en va de la survie de l’entreprise. Au volet technique s’ajoute une importante dimension humaine et organisationnelle afin de limiter les dégâts et d’assurer la continuité des activités.

• Il est capital de s’exercer et de tester les plans de cyber-résilience afin de toujours les affiner et de faire monter l’organisation (et ses partenaires) en maturité.