De la cybersécurité à la cyber-résilience
Pour Everest Group, il est temps de changer de paradigme. En clair, passer de la cybersécurité à la cyber-résilience. Et de s’adresser directement aux C-Levels.
« La cybersécurité n’est qu’un élément de la cyber-résilience. Malheureusement, constate Kumar Avijit, Practice Director, Information Technology Services Team, Everest Group, la plupart des entreprises ne parviennent pas à saisir la différence. »
Everest Group -depuis peu filiale de Wavestone (activité de conseil) – appelle les entreprises à opérer un changement crucial d’orientation de la cybersécurité vers la cyber-résilience. « Alors qu’une majorité de cadres supérieurs se concentrent sur les contrôles préventifs et la réponse, une importance égale doit être accordée aux étapes de récupération, de refonte et de renforcement. Pour toute entreprise, disposer d’une stratégie globale de cyber-résilience est essentiel pour garantir la viabilité et le succès à long terme. »
Aucun système n’est parfait
Everest Group lance cet appel à l’action dans son « Cybersecurity State of the Market 2023 : Cyber Secure to Cyber Resilient » récemment publié. La cyber-résilience, spécifient les auteurs, va au-delà des mesures classiques de cybersécurité. Elle concerne la capacité d’une entreprise à résister aux cyberattaques et à s’en remettre. Contrairement à la cybersécurité qui se concentre sur la prévention et la détection des attaques, la résilience vise à construire un environnement fortifié capable de résister aux menaces potentielles. Il s’agit essentiellement de construire une ligne de défense automatisée plutôt que de s’appuyer sur une équipe aux ressources limitées pour détecter les attaques et y répondre. La résilience reconnaît que même avec des mesures préventives solides, aucun système de sécurité n’est parfait et qu’il peut y avoir des brèches. Par conséquent, les entreprises se doivent de privilégier la mise en place de plans de réponse aux incidents, de mécanismes de sauvegarde et de récupération afin de continuer leurs activités, même en cas d’attaque réussie.
« Alors qu’une majorité de cadres supérieurs se concentrent sur les contrôles préventifs et la réponse, une importance égale doit être accordée aux étapes de récupération, de refonte et de renforcement de la cyber-résilience, poursuit Kumar Avijit. Pour toute entreprise, disposer d’une stratégie globale de cyber-résilience est essentiel pour garantir la viabilité et le succès à long terme. »
Sous l’ange des « 5 R »
En conclusion, dans le paysage des menaces, les entreprises sont confrontées à la nécessité de dépasser les mesures traditionnelles de cybersécurité. Elles doivent considérer la résilience comme un élément essentiel de leur stratégie de sécurité. Everest Group suggère aux C-Levels d’envisager la résilience sous l’angle des « 5 R ».
« Ready », d’abord. A savoir les mesures préventives pour se protéger contre les cyberattaques et investir dans des technologies de pointe. « Respond », ensuite : les outils de détection et de réponse étendus (XDR) et les fournisseurs de services centrés sur la réponse automatisée aux incidents afin de réduire le MTTR (Mean Time To Repair). A améliorer, selon Everest Group, le « Recover ». L’aspect restauration est très peu mis en avant par la C-suite. Soit tout un travail à faire sur la fragmentation des données, les sauvegardes infectées et l’atteinte des objectifs exprimée en RTO (Recovery Time Objective).
Autre domaine à travailler, le « Reinforce ». Les dirigeants ne se concentrent pas sur l’apprentissage des cyberattaques contre des organisations homologues et sur la construction de défenses en conséquence, constate Everest Group. « Dans la plupart des cas, les dirigeants manquent d’une vision globale de la sécurité et restent réactifs. » Enfin, « Revamp ». « La C-suite n’agit pas suffisamment avec agilité pour se concentrer sur la technologie de nouvelle génération et réfléchir au-delà de la manière de se protéger des nouveaux vecteurs d’attaque », conclut Everest Group.