Pas de sécurité sans cyber-résilience !
Place à la cyber-résilience. Soit, conceptuellement, renverser la logique passive. Un changement de paradigme, selon Christophe Ruppert de EBRC.
L’approche traditionnelle de la cyber-sécurité a vécu. Dans le monde digital en cours de construction, il faut une approche plus globale et intégrée. La cyber-résilience. Objectif ? Devenir capable en permanence, face aux menaces, de les prévenir, de les identifier, de se préparer, de se protéger. Egalement les détecter, les analyser, y répondre et, surtout, récupérer, afin d’en sortir plus fort.
En somme, aller au-delà d’une stratégie de pure défense. Et donc gérer les risques naturellement, « by design », dans un mode « business as usual ». Tel était le message de Christophe Ruppert, Lead Advisor Business Continuity Management, EBRC, lors des Luxembourg Internet Days 2022.
« La cyber-résilience et ses multiples dimensions, allant de la protection initiale à la gestion de la récupération, doivent fusionner avec l’ADN de l’entreprise et être acceptées et comprises par tous les collaborateurs. En deux mots, faire partie de la culture de l’entreprise ! »
Changement de paradigme
Historiquement, les organisations se sont concentrées sur une logique détection-réponse relativement passive, où l’on installe des solutions destinées à détecter les menaces pour y apporter une réponse efficace. Bien que ces systèmes soient utiles et nécessaires, ils restent une approche passive. Pratiquement, les personnes malveillantes continuent de donner le rythme de l’action.
Le concept de cyber-résilience vise renverser la logique passive. S’il est essentiel d’être en mesure de détecter une brèche de sécurité et d’en atténuer les effets, il est tout aussi important que vos systèmes soient plus difficiles à trouver, à attaquer et à endommager. Tel est, en substance, le message de Christophe Ruppert.
« Devenir cyber résilient consiste à concevoir ou à intégrer à son parc des systèmes de sorte à minimiser les dommages engendrés au sein de votre organisation et assurer la continuité des activités, même lors d’un incident. »
Résilience informatique et économique
La démarche part du métier pour en évaluer les impacts. Et donc considérer le métier et analyser les écarts entre la situation existante et les exigences formulées par la norme ISO 22301, totalement maîtrisée par EBRC. Ensuite, identifier les activités critiques. Au niveau de chaque équipe, les effets d’une interruption de l’activité doivent être évalués selon différents critères comme le RTO (Recovery Time Objective), le RPO (Recovery Point Objective) et le MAO (Maximum Acceptable Outage). Dans la foulée, évaluer avec l’IT sa capacité de continuité des activités. Cette étape va permettre de faire la liste des actions à mettre en place pour aligner l’informatique avec les besoins du business. Quatrième étape, définir les composants de gestion de crise et les exercer. Il est important de pouvoir faire des exercices de gestion de crise proches de la réalité. C’est ce que propose notamment la plateforme de simulation et d’entraînement du Cybersecurity Competence Center (C3) avec lequel EBRC a conclu un partenariat. Enfin, sensibiliser et informer les collaborateurs.
En somme, il ne s’agit plus de se placer dans une position d’attente passive, mais de s’assurer que les affaires puissent suivre leur cours normalement en cas d’événement inattendu. Alors que la pandémie du COVID-19 nous conduit à travailler à domicile, cette approche fait sens. Une entreprise cyber-résiliente est synonyme de résilience informatique et donc économique.