La résilience est un mot qu’il est difficile d’ignorer. Sur toutes les lèvres, présent dans tous les discours, brandi par beaucoup comme l’enjeu de notre temps et ce vers quoi toutes les entreprises et organisations doivent tendre. Le terme est chargé de bonnes intentions mais il est bon d’en rappeler l’essence même : la résilience est la capacité à surmonter les chocs traumatiques et à se reconstruire. En-cela, la cyber-résilience pour une entreprise représente sa capacité à faire face aux cyberattaques et la rapidité de retour à la normale de ses systèmes informatiques. Cette cyber-résilience n’est aujourd’hui plus anodine : elle a le pouvoir de vie ou de mort sur votre entreprise.

La survie de votre entreprise dépend de sa capacité à faire face à une cyberattaque

La pandémie a complexifié le travail des DSI en redistribuant les forces de travail, désormais rompues au travail hybride ou, parfois, au 100% télétravail. Les cyber-risques se sont ainsi démultipliés, obligeant les responsables informatiques à adapter leurs infrastructures et leurs mécanismes de protection pour repousser ces attaques. Cyber-attaques qui se mondialisées, professionnalisées, industrialisées. Elles se sont même commercialisées pour devenir un business très lucratif : ransomware-as-a-service, kits de phishing pour récupérer un compte bancaire, de commerce en ligne, d’accès des services multimédias ou de messagerie électronique

Dans cet environnement de transformation numérique, une entreprise qui n’a pas su repenser sa politique de lutte contre les cybermenaces court un risque très sérieux. Avant même le recours massif au télétravail, la cybercriminalité était classée au premier rang des risques identifiés par les entreprises selon une étude Allianz et reprise dans un rapport d’information remis au Sénat en juin 2021. De son côté, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) pointait une hausse des signalements d’attaques de 255% en 2020 par rapport à 2019. Depuis, l’Agence estime que le nombre de rançongiciels aurait quadruplé ! A l’heure du tout numérique, la moindre attaque peut s’avérer désastreuse pour la survie d’une entreprise, quelle que soit sa taille. Ce nouveau paradigme, couplé à la recrudescence de ces attaques rendent les entreprises très vulnérables. S’il n’existe pas de chiffre officiel concernant la mort ou la survie d’organisations à la suite d’une attaque informatique, 58 % des cyber-attaques commises en 2020 ont eu un impact sur l’organisation des entreprises, générant en grande majorité une perturbation de la production (27 %), d’après le baromètre du CESIN 2021.

La cybersécurité n’est plus simplement une affaire technologique mais de stratégie d’entreprise

On ne peut plus considérer la cybersécurité et la gestion des cyber-risques comme un enjeu purement informatique. Bien sûr, les équipes IT sont absolument essentielles : leur expertise et compréhension des enjeux restent cruciales pour la mise en place d’une infrastructure solide. Mais elles ne suffisent pas. Nous sommes désormais dans un monde où la cybersécurité s’inscrit dans une stratégie de défense globale qui doit infuser dans toutes les organisations et entreprises jusqu’au COMEX et être inscrite dans une stratégie d’entreprise plus globale. A ce titre, le 6ème baromètre de la cybersécurité des entreprises du Club de sécurité de l’information français révèle que les entreprises sont confiantes quant à la prise en compte des enjeux de la cybersécurité au sein du COMEX (72%, soit +8 points par rapport à 2019).

Si les mentalités évoluent, les entreprises doivent passer de l’idée à l’action, en mettant en place une gouvernance des cyber-risques. A ce titre, le métier de Risks Manager prend de plus en plus d’importance auprès des directions et intègre cette composante cybersécurité. Nous pouvons citer en exemple l’AMRAE, association qui regroupe plus de 1500 membres et propose une approche globale de la gestion du risque. Ainsi, il faut considérer la cyber-résilience comme une composante clé de l’entreprise. C’est ainsi qu’on peut lui appliquer une dimension holistique, qui concerne toutes les strates de l’organisation.

La cyber-résilience, clé de voûte de la protection des organisations

Faire face à ce contexte inédit exige de repenser son approche de la cybersécurité. Si l’humain demeure encore le premier facteur de risque de cyber-attaques, il faut renforcer la culture des entreprises sur la sécurité. Les entreprises ont souvent du mal à gérer la complexité et la multiplicité des solutions de cybersécurité dont elles disposent. Cette complexité peut nuire à leur capacité de protection et de redémarrage. Or, une vision holistique permet de simplifier et d’améliorer la protection des organisations. Cette approche repose sur plusieurs grands principes.

Tout d’abord, la mise en place de solutions et terminaux dits “secure-by-design” qui prennent en considération les notions de sécurité et de risque dès leur conception. Ces solutions garantissent un niveau de sécurité et de protection très élevé. Elles représentent la première ligne de défense du système d’information car elles intègrent cette notion de cyber-résilience de façon intrinsèque sans s’appuyer sur des composants tiers, réduisant ainsi les risques de vulnérabilités. Pour compléter ce dispositif, les protections multicouches sont incontournables. De la protection du Bios avec des mécanismes d’auto-réparation intégrés, de protection contre les malwares sans détection via l’isolation des applications, de rechargement d’image système sans intervention d’un tiers, ou encore par la méthode de sauvegarde 3-2-1 (c’est-à-dire avoir trois copies de ses données à conserver sur deux supports différents, dont une copie de sauvegarde hors site). Ce sont des leviers simples mais indispensables dans une logique de protection globale.

Ils permettent d’avoir plusieurs niveaux de protection sur un seul et même appareil et de multiplier les points de sauvegarde afin de restaurer les données après une attaque.

Dans le même temps, et pour se prémunir au mieux de ces attaques, les organisations disposent d’un outil stratégique indispensable : le plan de continuité d’activité. Ce dernier permet de préparer et de faire face aux attaques pour limiter les impacts sur les activités de l’organisation visée, et lui permettre ainsi d’en sortir plus résiliente.

L’isolation des fichiers, de la navigation web, les solutions de type bac à sables sont également des outils précieux pour renforcer la pérennité des entreprises. En effet, elles permettent d’exécuter dans un environnement isolé des sources potentiellement malveillantes, sans risque de propagation au Système d’Information.

Mais la technologie ne fait pas tout. On ne peut pas ignorer la sensibilisation des utilisateurs, la mise en place d’une charte interne, d’une gouvernance de la sécurité, des plans de reprise et de continuité d’activité, d’une assurance pour la prise en charge du risque résiduel, et le préambule : l’analyse de risque.

La donne a changé et cela nécessite de repenser son approche en matière de sécurité. Le salut des organisations passera par leur compréhension des enjeux de protection actuels et leur capacité à développer une véritable stratégie de cyber résilience.
___________________

Par Gérald Kugler, Chief Technology Officer pour les Solutions d’impression et
Karim Driss, Chief Technology Officer pour les Systèmes personnels pour HP France.