La fréquence, la cible, les impacts et les couts des attaques cyber ont sensiblement explosé ces dernières années et en particulier ces derniers mois. Les plans de continuité d’activité des entreprises doivent s’adapter à ces nouveaux risques et développer un programme de cyber résilience visant à pouvoir identifier, évaluer et gérer les risques cyber.
En effet, jusqu’à présent la réplication « à chaud » du système d’information principal vers le système d’information de secours entraine une vulnérabilité identique aux attaques cyber aux deux SI.
Le système de sauvegarde est une cible des cyber attaquants et l’antériorité des intrusions entraine une compromission des sauvegardes.
La cyber résilience est aujourd’hui un enjeu capital au sein des entreprises afin d’assurer la continuité des activités métiers en mode nominal ou dégradé sur une courte période.
Il est essentiel de concevoir des dispositifs de prévention, de détection, de réponse et de reprise d’activité à l’échelle de l’entreprise, Métiers, IT mais également organisation, process et technologie tel que :
- Une cartographie des risques qui permet d’identifier les actifs essentiels et de support de l’entreprise.
- Un dispositif permanent de veille sécuritaire sur la menace doit permettre d’anticiper les comportements anormaux, de fournir une analyse des impacts sur le SI, le niveau de risques pour l’entreprise et les actions éventuelles de remédiation ou de contournement à mettre en œuvre.
- Un plan de continuité évolutif qui s’adaptent aux modifications/évolutions des objectifs de l’entreprise, de la réglementation, aux nouvelles menaces, aux exigences des parties prenantes et à l’appréciation des risques. Il doit être documenté, revue et testé régulièrement.
- Un dispositif de Gestion de crise cyber. Une crise cyber est un évènement rare mais dont l’impact sur l’entreprise est critique. Ce type de crise est une situation qui dure plusieurs semaines et qui monopolise de nombreux acteurs de l’organisation. Il est essentiel de concevoir et de tester ce dispositif en prenant en compte :
- Une dimension au plus haut niveau de l’organisation
- Une organisation de crise qui inclut un comité de crise décisionnel et des instances opérationnelles et fonctionnelles.
- Des rôles et responsabilités clairement définis sur la communication de crise auprès parties prenantes (collaborateurs, clients, partenaires, autorités, …)
- Des process, des procédures et des outils
- Des tests réguliers
Par Thierry Allart, RSSI & DPO, le 10 mai 2021