La résilience repose sur la capacité à faire face au changement sans compromettre l'activité de l'entreprise. Le changement peut être positif, comme l'acquisition d'un nouveau partenaire, ou négatif, comme la survenue d'une cyberattaque.
Le point de départ des équipes de sécurité a toujours été la planification. Il est essentiel d'adopter une approche basée sur les risques qui tient compte aussi bien des menaces, des vulnérabilités, des probabilités et des conséquences. Pour comprendre le risque, les équipes doivent analyser les scénarios potentiels en supposant qu'une menace existe, en évaluant la probabilité qu'elle affecte l'entreprise, et enfin en trouvant comment elles peuvent bloquer les vulnérabilités et en réduire l'impact. Les plans de continuité et de reprise sont conçus à partir de ces scénarios.
Les RSSI cherchent de plus en plus des moyens de garantir une continuité maximale de l'activité face aux changements qui ne constituent pas une menace. Trouver l'équilibre entre risque et opportunité, contrôle et adaptabilité, par exemple en déployant de manière sécurisée une équipe de consultants externes ou en faisant appel à un nouveau fournisseur pour la maintenance des systèmes sans accroître les risques, fait partie intégrante de la stratégie de résilience.
Obtenir le soutien de l'équipe dirigeante (car il n'agit pas d'un problème de sécurité ou de technologie, mais d'un défi pour toute l'entreprise)
Nommer des représentants au conseil d'administration pour promouvoir la résilience
Veiller à la mise en place et au respect des processus par toutes les parties prenantes
Continuer à développer une Threat Intelligence à la fois générale et spécifique au secteur de l'entreprise
Adopter des technologies flexibles qui offrent une meilleure visibilité sur les ressources et permettent d'appliquer de nouveaux contrôles et de nouvelles politiques de manière centralisée
La résilience consiste à adopter une approche du risque qui s'aligne sur le niveau de tolérance de l'entreprise. En collaboration avec le DSI et/ou l'équipe dirigeante, les responsables de la sécurité doivent, en leur qualité d'experts, orienter et formuler clairement les risques et les mesures associées afin d'aider l'entreprise à prendre la bonne décision.
Lorsque les mesures de prévention coûtent plusieurs millions d'euros, tandis que le coût d'une attaque potentielle s'élève à peine à quelques milliers d'euros, il peut être judicieux d'accepter le risque. Mais tout n'est pas qu'une question d'argent. La réputation de l'entreprise est également en jeu, et une faille de sécurité peut entraîner des conséquences à long terme. Il faut tenir compte de tous les tenants et aboutissants pour décider de ce que l'entreprise peut et ne peut pas tolérer.
Établissez également une liste des actifs dont l'entreprise ne peut pas se passer, autrement dit ses ressources les plus précieuses, ainsi que des actifs dont vous pouvez vous passer pendant une courte période. Construisez ensuite vos couches de sécurité à partir de cette modélisation des menaces. Vous ne pourrez pas systématiquement appliquer le plus haut niveau de protection à chaque actif.
Aucun RSSI ne dispose d'un budget ou de ressources illimités. Vous ne pouvez pas être partout et tout protéger. Et c'est normal. Votre mission est de protéger les actifs les plus importants de l'entreprise et leur environnement direct. Avec cette approche, vous développez votre résilience de manière proactive et à votre propre rythme.
La résilience, c'est être capable de faire face aux menaces qui se présentent tout en restant opérationnel en cas d'attaque avérée. La résilience s'obtient en associant protection et plan de réponse aux incidents.
Le premier pas vers la résilience est d'identifier les menaces qui pèsent sur l'entreprise. Vous ne pouvez pas vous protéger contre ce que vous ne connaissez pas. Pour être résilient, vous devez avoir conscience des risques et de vos points faibles.
Vous pouvez alors mettre en œuvre des mesures de protection pour réduire ces risques et vous assurer qu'en cas de menace avérée, les conséquences seront limitées.
Mais vous devez accepter qu'il est impossible de tout protéger et d'anticiper la manière dont les menaces vont évoluer. Il est donc essentiel de se préparer à répondre rapidement et efficacement aux menaces potentielles.
En veillant à ce que les systèmes ne présentent aucun point de défaillance unique, vous pouvez garantir la continuité de l'activité même si un composant doit être mis hors service suite à une menace. Le fait de planifier et de répéter la procédure de réponse aux incidents permet de neutraliser les menaces et de rétablir l'activité le plus rapidement possible.
En tant que consultante en sécurité, j'évalue la résilience d'une entreprise en analysant, entre autres, ses pratiques en matière de classification des données, et de gestion des accès et des identités. Il est important d'en étudier la conception globale du point de vue de la sécurité afin d'en tester la fiabilité.
L'un des moyens les plus efficaces de mettre en place la résilience dans l'entreprise est d'évoluer en tant qu'équipe, aussi informelle soit-elle, dans un environnement collaboratif, plutôt que chacun reste cloisonné dans son service.
C'est important car la résilience est l'affaire de tous.
Par exemple, si je travaille avec des développeurs, ces derniers doivent être parfaitement conscients qu'en développant une application, ils ne doivent pas uniquement veiller à sa fonctionnalité, mais aussi à sa sécurité, en s'assurant qu'elle ne présente pas de risque pour nos clients.
Si toutes les équipes partagent la même vision et les bonnes pratiques en matière de sécurité, la résilience s'en trouve hautement renforcée, avec des tests d'intrusion, des analyses de code et une classification des données qui interviennent au bon moment.
Les professionnels de la sécurité participent aujourd'hui aux projets de l'entreprise, ce qui est une très bonne chose. La sécurité a pris une nouvelle place. Les échanges permettent d'intégrer la sécurité dès les premières phases de conception du projet. Cela renforce la résilience, car il n'est pas nécessaire de se protéger a posteriori, notamment lorsqu'un incident se produit.
Les entreprises doivent investir du temps de manière proactive pour obtenir une Threat Intelligence précise et exploitable en contexte. Toutefois, ce n'est pas chose aisée, car le marché regorge de fournisseurs et d'outils qui proposent des informations très détaillées sur les menaces, sans parvenir à les rendre pertinentes ni à les intégrer dans un contexte plus large. Par exemple, la situation mondiale actuelle nécessite d'anticiper la cybercriminalité d'un point de vue géopolitique.
La possibilité de mettre les éléments en contexte est un atout précieux. Si montrez que vous prenez en compte les menaces qui pèsent sur les services, les opérations et les systèmes stratégiques de l'entreprise en vous basant sur des exemples concrets, l'équipe dirigeante peut mieux comprendre l'importance de vos actions. Cela peut également la rassurer quant au niveau de résilience de l'entreprise.
Pour améliorer la résilience, il est important de se concentrer sur les activités qui correspondent réellement à ce que fait l'entreprise. Avec l'émergence récente de nouveaux modes de travail, les exercices de résilience proposés dans les différents cadres disponibles ne seront pas forcément adaptés à votre situation actuelle.
« Avec l'émergence récente de nouveaux modes de travail, les exercices de résilience proposés dans les différents cadres disponibles ne seront pas forcément adaptés à votre situation actuelle. »
Vous pouvez par exemple analyser les attaques dont d'autres entreprises ont été victimes récemment, et vous assurer que vos mesures de résilience s'alignent sur ce que les autres mettent en place, en vous concentrant sur les éléments les plus susceptibles d'avoir un impact sur votre secteur et sur votre entreprise. Cela vous permettra de tester votre résilience de façon concrète.
Prenons l'exemple des ransomwares, qui sont aujourd'hui très répandus. Comment tester votre résilience face à ces menaces ? La meilleure approche consiste à identifier les types de ransomwares qui touchent le plus grand nombre d'entreprises. Leurs variants ciblent-ils des secteurs ou des entreprises spécifiques ? Dans quelle mesure cela vous concerne-t-il, et comment pouvez-vous adapter vos exercices de résilience pour répondre à ces problématiques concrètes en vous basant sur l'expérience d'autres entreprises ?
On constate souvent un véritable clivage au sein de l'entreprise. Dans le cas d'un exercice de résilience face aux ransomwares, il est possible que certaines équipes ignorent les spécificités techniques des systèmes, ce qu'est un ransomware et ses conséquences sur leur workflow. Mais lorsque vous leur montrez qu'un service peut être interrompu ou que des données peuvent être volées, les parties concernées peuvent davantage se rendre compte des potentielles conséquences matérielles du ransomware pour l'entreprise.
Ils peuvent également arriver à la conclusion que certaines fonctions peuvent être interrompues pendant une courte période sans nuire à l'entreprise. Ces types d'activités de résilience sont très intéressantes car elles permettent d'établir une réelle connexion entre l'entreprise et la technologie.
La résilience va bien au-delà de la sécurité, mais la sécurité en est une composante essentielle. Sur l'échiquier de la résilience, c'est votre roi. Si les processus sont touchés sans que vous puissiez les rétablir, la partie est terminée. Cependant, d'autres équipes doivent avancer leurs pions pour protéger l'entreprise. Il y a beaucoup à protéger, et puisque vos coups sont limités, tout doit être calculé avec soin. Cela explique l'essor de la sécurité axée sur les risques.
Imaginons que j'aie un serveur qui ne contient pas d'informations essentielles, mais qui présente une vulnérabilité connue qui doit être corrigée. Il s'agit d'un serveur back-end que nous utilisons pour les DevOps. Vous avez le même serveur avec la même vulnérabilité, mais le vôtre est connecté à Internet et contient des données sur les clients.
Nos risques sont différents, même s'ils proviennent de la même vulnérabilité. Le déploiement d'un correctif est plus prioritaire pour vous que pour moi.
Nous ne pouvons pas être partout, alors nous devons procéder par ordre de priorité. Réglez d'abord les problèmes critiques, puis élaborez un plan pour traiter les autres vulnérabilités auxquelles vous pourriez être exposé. Pour cela, vous avez besoin d'informations exactes et prédictives sur les menaces qui tiennent compte des spécificités de votre entreprise. Cette résilience axée sur les priorités permettra de résoudre un grand nombre de problèmes opérationnels liés à la sécurité que nous rencontrons depuis quelques années.
« Nous ne pouvons pas être partout… Réglez d'abord les problèmes critiques, puis élaborez un plan pour traiter les autres vulnérabilités auxquelles vous pourriez être exposé. »
