Face au risque cyber, voici trois conseils pratiques pour ne plus s’afficher en victime passive.

Il est désormais commun de dire qu’il ne s’agit plus de savoir si votre entreprise sera attaquée, mais comment maîtriser cette situation. Tous les dirigeants ont désormais bien compris le risque létal que fait courir la cybercriminalité sur leur entreprise. Les DSI ont naturellement investi dans des briques de sécurité de plus en plus complexes, de plus en plus coûteuses, mais tous les spécialistes vous le diront : il est impossible de garantir une sécurité à 100%. Exploitant les failles de sécurité encore inconnues, les fameuses « Zero Day », les attaquants parviennent encore à frapper des entreprises pourtant bien protégées.

Le dernier rapport publié par cybermalveillance.gouv montre que les rançongiciels ont été en 2020 la première cause de recherche d’assistance pour les entreprises et le secteur public, avec respectivement 17% et 19% des demandes, suivi du piratage informatique (16 % et 13%) et du piratage de comptes. Avec +30% en un an, l’essor des rançongiciels est spectaculaire.

Face à cette déferlante de cyberattaques en France : anticiper est la règle et la mise en place d’un PRA / PCA est désormais un « Must-Have » pour toute entreprise.

Conseil n°1 : prévoir un plan de crise pour limiter une attaque 

La menace est bien réelle et l’important est de s’y préparer. Le coût moyen d’une cyberattaque atteint près de 1,3 million d’euros et représente 15 jours d’interruption d’activité. Les chiffres avancés par le cabinet de conseil Eagle Rock font état de la disparition de 40% des entreprises qui ont subi un arrêt de 72 heures de leurs moyens informatiques et télécoms. L’attaque peut porter sur les moyens industriels et ainsi paralyser la production, mais elle peut aussi frapper le logiciel de comptabilité en pleine période de clôture. Une cyberattaque est à la fois une menace pour l’activité de l’entreprise et sa santé financière, dont les conséquences sont nombreuses : vols de données / piratage de secret industriel entraînant une distorsion de concurrence voire des pertes de marché ou pire une défaillance de l’entreprise. Sans compter que ces attaques une fois connues constituent un accroc à la réputation de l’entreprise vis-à-vis de ses clients à différents niveaux : crédibilité, viabilité, sécurité…

Si l’attaque est potentiellement inéluctable, il est crucial d’en limiter l’impact et de mettre en place les moyens qui permettront de redémarrer le système d’information au plus vite. Les entreprises qui ont réfléchi en amont à ce qu’elles allaient faire en cas d’attaque sortent plus rapidement de cette crise, avec un coût financier maîtrisé. Lorsque rien n’a été prévu, le délai de reprise d’activité peut avoir un impact significatif sur le commerce, la production et l’image même de l’entreprise

Les sociétés maîtrisant leurs infrastructures et ayant anticipé ces attaques sont les mieux positionnées pour traverser sereinement ces crises.

Les dirigeants et les DSI doivent absolument réfléchir « au jour d’après ». Avoir anticipé le pire est essentiel lorsque l’attaque survient. La solution passe avant tout par la mise en place d’un PRA (Plan de Reprise d’Activité) pour redémarrer le système d’information à partir de ses sauvegardes ou d’un PCA (Plan de Continuité d’Activité), sa version temps réel, avec un redémarrage quasi-instantané sur une infrastructure répliquant les systèmes de production. Sans compter que travailler avec un expert des infrastructures IT peut avoir de nombreux avantages tant opérationnels que matériels car il peut faire appel à différents constructeurs pour remplacer du matériel défaillant.

Conseil n°2 : mettre en place un PCA pour poursuivre son activité

Si la solution est bien connue, son application n’est malheureusement pas généralisée et sa mise en œuvre aisée. Nous constatons encore aujourd’hui que lorsqu’une entreprise renouvelle un système informatique, celle-ci calcule son TCO sur 5 ans. Les architectes réfléchissent à la façon dont cette infrastructure pourra évoluer durant toute cette période, mais ils oublient bien souvent la façon dont celle-ci va redémarrer en cas de panne majeure ou de cyberattaque. Il est pourtant extrêmement important de concevoir le PCA en parallèle à l’architecture informatique qu’il va devoir secourir.

Le coût pour mettre en place un PCA existe, il est par conséquent très important d’identifier et de cibler les infrastructures critiques qui sont indispensables à la pérennité de l’entreprise. C’est pourquoi lors de la définition du PCA, les architectures doivent impérativement échanger avec les équipes métiers pour mettre de définir et de mettre en œuvre les bons moyens sur les sujets sensibles de la société.

Aujourd’hui, toute entreprise peut mettre en place un PCA pour un budget raisonnable quelle que soit la taille de la société. La technologie doit avant tout être guidée par les besoins des métiers. L’entreprise peut choisir de fonctionner en mode nominal et bénéficier des mêmes applications et des mêmes performances ou bien accepter de fonctionner en mode dégradé le temps que son système d’information soit remis en place. Notre activité conseil nous permet de proposer plusieurs scénarios de reprise et l’entreprise va pouvoir arbitrer la solution qui lui conviendra le mieux en fonction de ses priorités business et de ses capacités d’investissement.

Conseil n°3 : demander des garanties sur la sécurité et la disponibilité

Responsable de la disponibilité du système d’information de son entreprise, la mise en œuvre d’un PRA / PCA relève naturellement du DSI. Les métiers demandent de plus en plus fréquemment des garanties quant à la disponibilité des applications vitales.

Le DSI doit pouvoir s’appuyer sur un plan de continuité d’activité (PCA) qui va lui permettre de tenir cet engagement sur les applications et fonctions critiques essentielles à l’activité l’entreprise au quotidien ainsi que de s’assurer que les données de l’entreprise restent accessibles et conservées de manière sécurisée. Au niveau des infrastructures, la restauration des configurations matériels doit se faire dans un délai très court pour passer à la remise en état des applications. Cet aspect souvent perçu comme secondaire est pourtant majeur et prioritaire pour le bon déroulement du PCA.

Établir une stratégie et des procédures de plan de reprise d’activité (PRA) est un moyen de formaliser l’ensemble des actions à mener en cas de cyberattaque. Le DSI doit se faire aider par des experts de la gestion des infrastructures afin d’avoir une vision 360 degrés du marché pour se doter du meilleur PRA/PCA.

Le rôle des dirigeants est d’anticiper les risques techniques, financiers et organisationnels qui pèsent sur leur entreprise et le PRA/PCA vient répondre à ce type de risque. Il constitue un actif que ceux-ci peuvent valoriser vis-à-vis de leurs actionnaires et un atout commercial de qualité de service et de disponibilité de la production.

En outre, l’impact d’une cyberattaque en termes de réputation ne doit pas être négligé, y compris pour les ETI et les PME. On voit de plus en plus de grands comptes se séparer de fournisseurs n’apportant pas de garantie suffisante sur le plan de la cybersécurité. Ceux-ci peuvent constituer pour eux une menace indirecte pour leur propre sécurité ou leur réputation et ils sont de plus en plus nombreux à demander des garanties quant à la sécurité et la disponibilité du système d’information de leurs partenaires.

Un PRA/PCA ne s’improvise pas. Il doit à la fois être évolutif pour accompagner le développement de l’entreprise, mais aussi optimisé pour présenter le meilleur rapport TCO / durabilité / budget / réputation / pérennité. L’anticipation est la règle et assurer la continuité d’activité d’une entreprise est un projet auquel il faut penser bien avant « le jour d’après » !
___________________

Par Paskal Desuert, directeur régional chez Jiliti

À lire également :

> Pourquoi le secteur de la maintenance IT doit prendre le virage du service.

> Mal préparer son projet cloud : un risque à ne pas prendre !

> Les entreprises encore sous préparées au risque cyber grandissant.

> Threat intelligence : quelles sources OSINT en fonction du risque cyber ?

> La cybersécurité : un enjeu majeur pour les élections présidentielles de 2022.