Dans un environnement de plus en plus incertain, garantir la continuité du business exige d’adopter des approches plus proactives et mieux intégrées. En appliquant les dernières normes et les meilleures pratiques, pour assurer une protection des systèmes « by design » et garantir la confiance des organisations dans le numérique, la cyber-résilience devient fondamentale.
L’année 2017, charnière dans la transformation numérique des entreprises, a vu les systèmes informatiques et les professionnels de la cyber-sécurité mis à rude épreuve. En effet ces derniers mois, des attaques DDoS massives et plusieurs épidémies de ransomware sont venues perturber les activités d’organisations internationales. Beaucoup ont subi des prises d’otage ou ont été paralysées par des attaques malveillantes. Des processus électoraux au sein de pays démocratiques ont même été perturbés par des cyber-activistes aux intentions douteuses. 2017 a été marquée par une nouvelle ère numérique. La multiplication des attaques a mis en évidence les fragilités de nos organisations et les failles de nos sociétés de plus en plus digitales. On a découvert par la même occasion les limites d’une approche traditionnelle en cyber-sécurité, qui vise essentiellement à protéger les systèmes. La cyber-sécurité est dépassée car trop restrictive ; il faut une approche globale totalement intégrée impliquant à la fois les individus, les processus et la technologie : la cyber-résilience.
Opter pour une approche active
La gestion des données sensibles requiert une approche plus holistique de la sécurité digitale, mieux intégrée aux enjeux organisationnels et business. Dans le contexte actuel, il faut changer de paradigme. La question n’est plus de savoir si l’on va être attaqué, mais bien quand ! A partir de là, nous devons pouvoir mieux nous préparer à absorber le choc, réagir à toute éventualité et rebondir.
Chacun évolue dans un environnement, le cyberespace, incertain, instable, potentiellement hostile. A la manière d’un kayakiste qui descend un torrent et doit jouer avec le courant, éviter les rochers, l’organisation au cœur du cyberespace doit gagner en agilité et en flexibilité. Il faut pouvoir évoluer en tenant compte des éléments présents dans son environnement.
Face à l’éventualité d’un incident de sécurité ou de continuité, il faut opter pour une approche proactive, dynamique, composer en permanence avec les éléments, anticiper et contourner les obstacles, surfer, accélérer, rester la tête hors de l’eau.
Pour certains, moins bien préparés, l’objectif premier sera de survivre. Pour les plus résilients, il s’agira au contraire de rebondir, d’avancer et de profiter de la vitesse du torrent.
Identifier, protéger, détecter, répondre, récupérer : les cinq piliers de la cyber-résilience
La cyber-résilience constitue une approche globale qui intègre cyber-sécurité, continuité d’activité, gestion de crise, stratégie de réponse et organisation de la résilience. En permanence, il faut pouvoir identifier, protéger, détecter, répondre à l’incident et récupérer les systèmes pour garantir la continuité de l’activité et rebondir. C’est l’approche suggérée par la directive NIS, qui vise à sécuriser les réseaux et les systèmes d’information contre tout risque et incident au niveau des infrastructures critiques européennes.
Finalement, la cyber-sécurité n’est qu’un sous-ensemble de la cyber-résilience. On parle de développer pour chaque activité dépendante du numérique un système immunitaire performant. Pour qu’il soit efficient, il faut que les différentes composantes de l’organisation interagissent de manière coordonnée, selon une approche systémique.
Mettre en œuvre une approche par les normes
Pour inviter les acteurs à mieux évoluer et se protéger dans cet univers incertain, les organisations internationales et autorités publiques prônent le développement et le respect de normes toujours plus poussées – ISO 27001 (gestion de la sécurité de l’information), 20000 (gestion des services informatiques), 27018 (protection des données à caractère personnel) ou 22301 (gestion de la continuité d’activité). Ainsi, la nouvelle norme française d’Hébergeur de Santé à caractère personnel qui sera d’application en 2018 exigera les normes ISO 27001, 20000 et 27018.
De même, pour construire le marché unique digital européen, l’Union Européenne se dote de nouveaux outils, comme une agence de la cyber-sécurité (rôle confié à l’ENISA) ou encore la directive NIS.
Pour les opérateurs de service numérique, il est fondamental de développer une proposition de valeur de bout-en-bout dans le domaine de la gestion des données sensibles. Cela permet de garantir la continuité, la sécurité, la protection des activités des clients face à l’ensemble des risques. En apportant toutes les garanties de confiance, les opérateurs de service numérique créent de la valeur dans ce monde digital de plus en plus incontournable mais également de plus en plus complexe et incertain.
Elaborer une approche « cyber-résilience » intégrée à grande échelle
Choisir une approche intégrée suivant une stratégie d’amélioration continue garantit la protection des clients face aux risques de plus en plus menaçants. Faire évoluer son Security Operation Center (SOC) en intégrant des solutions d’investigations sécurité est également fondamental. Grâce à des algorithmes sophistiqués, celles-ci conduisent à une détection prédictive des menaces au départ de l’analyse des comportements déviants au sein des systèmes d’information. En sus, elles constituent un composant clé dans l’investigation et la remédiation.
Autre vecteur de succès, l’intégration d’équipes de conseil et d’équipes opérationnelles renforce considérablement les centres de compétences « cyber-résilience ».
On ne peut plus séparer les enjeux business des problématiques de continuité, de sécurité et de résilience. Les divers éléments entrant en ligne de compte pour garantir le fonctionnement du business doivent être totalement intégrés, comme les cinq doigts d’une même main. Il nous faut mettre en œuvre des approches de cyber-résilience « by design » renforcées et de bout-en-bout.
La résilience de toute activité, et donc de l’économie digitale, se joue de plus en plus à l’échelle européenne. Seul, dans son pays, on ne peut pas y arriver. Nous devons favoriser l’émergence de mécanismes de lutte plus efficients à l’échelle du marché numérique unique, notamment en matière de gestion de l’information la plus sensible.
_______
Yves Reding est Pdg d’EBRC