La cyber-résilience des entreprises dépend intrinsèquement de la résilience des SI. Et cette dernière est impactée par trois « ressources » qu’il est essentiel de bien combiner et mettre en œuvre aussi rapidement que possible. 

La valeur exponentielle des données, et leur vulnérabilité croissante face aux menaces, ont rendu la résilience informatique plus importante que jamais. Le patrimoine data de la plupart des entreprises s’est étendu bien au-delà datacenter traditionnel, ce qui les rend plus vulnérables aux ransomwares sophistiqués et autres cyberattaques capables de paralyser les opérations et priver les organisations de l’accès à cette ressource.

Par conséquent, les DSI et les autres responsables informatiques doivent puiser dans leurs ressources, ce qui englobe les personnes, les processus et les technologies afin de fournir efficacement les niveaux de résilience informatique dont ils ont besoin.

Instaurer la culture de la cybersécurité dans l’ensemble de l’entreprise

La sécurité informatique est très loin d’être la seule responsabilité du DSI ou de l’équipe informatique. D’abord parce que chaque collaborateur traite quotidiennement des actifs sensibles de l’entreprise d’une manière ou d’une autre ; qu’il s’agisse de résultats commerciaux, de contrats clients et fournisseurs ou de plans marketing. Il revient donc à tous de prêter une attention particulière à la manière dont chacun de ces actifs est sécurisé. Quelqu’un stocke-t-il des fichiers dans un dossier qui n’a pas été chiffré et protégé ? Utilise-t-il un service public de partage de fichiers avec une sécurité minimale pour envoyer un fichier volumineux à quelqu’un parce qu’il s’agit de la voie la plus pratique ? Chacun doit être conscient que les attaques par hameçonnage sont une menace réelle et persistante – et que cliquer sur le mauvais lien ou communiquer des informations par téléphone peut avoir des conséquences désastreuses.

D’autre part, si nous ne pouvons pas éviter ni annuler les risques, nous pouvons en revanche apprendre à ne pas être une proie facile. Et cela passe par une connaissance et une compréhension des cyber dangers auxquels nous sommes confrontés. L’une des meilleures décisions qu’un DSI puisse prendre en matière de résilience, en raison de son faible coût mais surtout de ses bénéfices, est de former l’ensemble du personnel aux meilleures pratiques en matière de sécurité ; qu’il s’agisse de savoir sauvegarder correctement un fichier ou de la manière de reconnaître les signes révélateurs d’une attaque de phishing ou d’ingénierie sociale.

L’acculturation globale à la cybersécurité, elle, doit être dispensée ou animée de manière régulière et continue, de préférence tous les mois. De manière générale, tous les membres de l’entreprise sont susceptibles d’oublier, en se demandant une fois dans le mois quelles sont les tâches qu’ils ont pu remettre à plus tard alors qu’elles permettraient à l’entreprise d’être plus sûre et résiliente. Peut-être qu’un gestionnaire de compte a voulu archiver un fil de discussion sensible ou transférer certains contrats dans un espace de stockage de documents sécurisé, mais s’est involontairement laissé distraire par les diverses urgences qu’il doit traiter chaque jour.

Optimiser et automatiser les processus

Il s’agit ici avant tout de réduire la complexité de la pile technologique globale. Plus il y a d’éléments et plus la surface d’attaque est étendue, plus grand est le nombre de vulnérabilités potentielle. Pour restreindre la surface d’attaque, les entreprises doivent donc consolider leur infrastructure et en réduire les complexités. Se tourner vers les applications SaaS est un bon moyen d’atteindre cet objectif tout en maintenant la résilience informatique. Cela est lié au modèle de responsabilité partagée, selon lequel les fournisseurs de cloud offrent une sécurité au niveau même de l’infrastructure et des contrôles d’accès à la plateforme, tandis que la responsabilité de l’accès de l’utilisateur et du contrôle des données reste entre les mains des services informatiques et des utilisateurs eux-mêmes. Si la consolidation est une mesure importante pour la résilience informatique, l’automatisation est également essentielle. En effet, les processus manuels donnent l’occasion aux gens de commettre des erreurs, lesquelles ouvrent la voie aux acteurs malveillants.

En gardant ces bonnes pratiques à l’esprit, une première étape consiste à se pencher sur un flux de travail particulier : par exemple, l’environnement d’assistance client ; et à commencer à examiner les processus et l’infrastructure technique qui le prend en charge. A ce stade, il faut prêter une attention particulière non seulement au nombre d’applications présentes dans un environnement donné, mais aussi au nombre d’intégrations réalisées. C’est en effet sur ce dernier point que beaucoup de systèmes informatiques se révèlent faillibles, surtout s’ils sont construits sur mesure. Or, une intégration compromise peut être une voie royale pour des acteurs malveillants, leur permettant de se frayer facilement un chemin vers les nombreux autres systèmes auxquels le premier, corrompu, est intégré. Même si cela parait enfantin, il ne faut surtout pas hésiter à en coucher le schéma sur papier pour en avoir une vue d’ensemble. Il devient alors possible de compter le nombre de systèmes, points d’intégrations et de contact, et de voir ce qui bascule dans le SaaS et ce qui ne le sera pas. En acquérant ce sens fondamental du niveau de complexité des divers flux de travail, déterminer ceux qui doivent être consolidés en priorité sera bien plus aisé.

Deux niveaux de sûreté valent mieux qu’un

Malgré toutes les précautions, il est vital de garder à l’esprit qu’aucune entreprise n’est infaillible et qu’il faut se préparer à toute éventualité. Les DSI doivent donc penser non seulement à la technologie employée, mais aussi aux processus opérationnels qu’ils soutiennent. La reprise après sinistre (DR pour Data Recovery) est la partie technologique de l’équation, celle qui permettra à une entreprise de récupérer rapidement son système et ses données. Son pendant indissociable est alors le plan de continuité des activités (BC pour Business Continuity), soit la partie « processus » de l’opération. Car si l’on perd l’accès à ses outils ou aux personnes qui exécutent ces processus, est-il possible de garantir que ces derniers fonctionneront toujours ? Pensons-y un instant en prenant l’exemple de la gestion des paies, de l’administration des ventes ou même du support client : si des personnes ou fonctions disparaissent soudainement en raison d’un événement imprévu, comme faire pour assurer la continuité des activités ?

Il convient néanmoins de noter que c’est la pratique qui fait la perfection en matière de BC/DR : il est nécessaire d’avoir une personne dédiée à cette tâche prioritaire, responsable d’une documentation exhaustive, réalisant des tests réguliers et continus. Ce faisant, en cas d’incident, la réaction sera presque automatique ; sur le même principe que la « mémoire musculaire » permettant de lancer les plans BC/DR sans hésitation et ainsi de relancer la machine. Cette personne, c’est le DSI, intégré depuis la pandémie aux conversations relatives à la continuité des activités et aux manières de maintenir les processus en place effectifs. En créant une culture consciente des risques, en consolidant leur empreinte technologique tout en éliminant le risque d’erreur humaine et en mettant en place des plans de BC/DR efficaces, les DSI prouveront à leurs entreprises qu’elles disposent de ressources puissantes pour empêcher une grande variété d’imprévus susceptibles de perturber leurs activités. Les bonnes ressources, correctement exploitées et agencées, leur apporteront une résilience informatique suffisante pour protéger leurs données et pérenniser leurs activités.
___________________

Par Xavier Bourdelois, responsable avant-vente chez Commvault France

 

À lire également :

Entre efficacité et rationalisation des coûts, la protection des données est un enjeu de gouvernance majeur !

« Une entreprise doit toujours rester agile et s’interroger sur son évolution… »

L’Europe veut réglementer la cybersécurité des produits avec un Cyber Resilience Act

« La cyber-résilience ne commence pas une fois l’attaque entrée dans le SI »

Commvault veut redonner un rôle clé à l’archivage