Après un sinistre, le plus important pour une entreprise est de pouvoir reprendre rapidement son activité. C’est vrai dans le monde réel, ça l’est tout autant pour le virtuel. Si la cyber sécurité consiste à limiter les risques d’attaques, seule une vision globale partagée entre l’IT, la sécurité et les métiers peut offrir une vraie résilience cyber aux organisations.
Les risques cyber et leurs conséquences : enjeux n°1 de la cyber résilience
On parle communément de « risque cyber ». Mais fondamentalement, le risque majeur n’est pas l’attaque, mais ses conséquences. Selon IBM Security & le Ponemon Institute, le coût moyen d’une attaque avec violation de données serait de 4,45 millions de dollars en 2023, en hausse de 15 % par rapport à 2022. À raison de plus de 2 200 cyberattaques par jour dans le monde, soit une cyberattaque toutes les 39 secondes (Security Magazine), les enjeux financiers sont colossaux. Au global, l’étude Global Cybersecurity Outlook 2024 pour le World Economic Forum a ainsi évalué le coût du cybercrime à 11,5 trillions de dollars en 2023 – qui pourrait doubler d’ici 2027.
Dans un contexte géopolitique tendu où la cyber guerre est de plus en plus utilisée, les régulateurs renforcent l’arsenal législatif pour contrer les cybermenaces et leurs conséquences. C’est l’objet en Europe des réglementations NIS2, qui vise à améliorer la cybersécurité des réseaux et des systèmes d’information, et de DORA, qui se concentre sur la résilience opérationnelle numérique des institutions financières. Le Royaume-Uni, les États-Unis et de nombreux pays asiatiques musclent également leur législation pour renforcer la cyber résilience de leurs organisations.
Face aux enjeux économiques, la perception positive de ces réglementations progresse : 60,4 % des personnes interrogées dans le cadre de l’étude Global Cybersecurity Outlook 2024 considèrent ces réglementations comme utiles (contre 39,2 % en 2022).
En interne aussi, le sujet de la cyber résilience est pris très au sérieux. Outre les enjeux business, le temps de travail perdu, l’espionnage industriel ou l’image de marque, la question remonte désormais à la direction générale. Celle-ci peut, dans certains cas, être tenue pénalement responsable des conséquences en cas d’attaque.
Alignement SI, sécurité, business : la clé d’une cyber résilience efficace
Malgré des intérêts éminemment convergents (à savoir la réussite de l’entreprise), force est de constater que les métiers et la DSI ne parlent pas le même langage. Ils peuvent ainsi avoir du mal à se comprendre. Mais système d’information et business sont aujourd’hui tellement imbriqués qu’un manque de compréhension n’est plus tenable. Il ne s’agit pas seulement de se conformer aux obligations réglementaires, mais surtout d’assurer la continuité business en cas d’attaque, ce qui est – in fine – le but de la cyber résilience.
À cette fin, la cartographie des composants IT de l’organisation est un « prérequis nécessaire à la défense, la protection et la résilience du système d’information » selon l’ANSSI. Très souvent instaurée dans les organisations, ce type de cartographie conserve toutefois une approche très technique. En parallèle, si une cartographie des processus métiers a pu être réalisée dans certaines organisations, elle n’inclut pas forcément la vision IT correspondante.
Pour parvenir à parler le même langage et assurer la résilience de toute l’organisation en cas d’attaques, les équipes techniques et métiers doivent pouvoir croiser la cartographie IT avec celle des processus métiers. L’objectif est d’identifier, pour tous les processus (en particulier les plus critiques pour l’entreprise), les multiples interdépendances avec le système d’information et l’écosystème (partenaires technologiques), afin de garantir la continuité numérique.
Unifier les perspectives pour assurer la cyber résilience
Sans une vision à la fois IT et métiers, il est impossible de localiser les applications qui supportent les processus critiques et les données stratégiques, ni d’identifier les impacts métiers des incidents cyber et les défaillances. Seule cette vision croisée permet de prioriser les actions de sécurisation du SI par la cellule Sécurité, dont le champ d’action de celle-ci ne cesse de s’élargir. Cela permet d’éviter les éventuels angles morts, les risques d’effet domino, les points de défaillance unique, etc.
L’enjeu pour la DSI et les métiers est de disposer d’un référentiel commun autour d’un vocabulaire et d’une taxonomie identiques pour tous. L’objectif étant de se comprendre sur la base de définitions communes, mais surtout de travailler ensemble à garantir la cyber résilience de l’organisation.
Qu’il s’agisse de répondre aux réglementations (DORA, NIS2) ou tout simplement de garantir la résilience numérique, une réponse uniquement technologique ne suffit pas. Elle doit être complétée par une vision métiers prenant en compte les processus de l’organisation. La cyber résilience ne se limite pas à la cybersécurité au sens strictement technologique du terme : elle prend aussi en compte les aspects business, organisationnels et humains.
____________________________
Par Cyril Amblard-Ladurantie, Responsable Marketing des produits GRC – Gouvernance, Risque & Conformité – MEGA International
puis