Avant toute chose, rappelons que les individus et les relations jouent un rôle clé dans le partage des informations lorsqu'il s'agit d'anticiper les menaces pour la résilience opérationnelle. Les autres départements de l'entreprise connaîtront toujours mieux leur domaine que mon équipe.
Ils savent également quels seront les impacts sur l'activité. Notre approche reposant sur la situation idéale s'est avérée très utile pour amener l'équipe à prendre du recul et à envisager les scénarios catastrophes qui anéantiraient leurs plans et court-circuiteraient leurs opérations.
Nous avons établi des modèles de conception standard et des normes d'équipe pour contrer ces scénarios catastrophes. Les modèles de conception peuvent se présenter sous la forme d'architectures techniques, d'exigences ou de processus opérationnels normalisés. Les normes d'équipe prennent généralement la forme de formations croisées, d'attributions de rôles, de modes de communication et de procédures de transmission.
C'est en mars 2020, lorsque l'entreprise a dû déployer rapidement le télétravail pour une durée indéterminée, que notre approche proactive nous a été le plus bénéfique. En 2019, nous nous sommes rendu compte en discutant avec d'autres équipes de l'entreprise que notre infrastructure IT présentait quatre points faibles majeurs qui limitaient fortement notre résilience.
De nombreux processus métiers essentiels reposaient sur l'infrastructure IT hébergée dans nos locaux qui manquaient de redondance en matière d'alimentation électrique, d'Internet et de refroidissement.
La gestion de l'infrastructure IT, et notamment de notre système téléphonique, nécessitait des compétences spécifiques que nous n'avions pas en interne. Nous dépendions donc fortement de prestataires externes pour gérer les équipements et, en cas de problème, nous ne savions pas dans quels délais le service serait rétabli.
Nous n'avions pas les ressources nécessaires pour surveiller et sécuriser suffisamment nos systèmes IT internes, et notre fournisseur de services managés n'était pas à la hauteur.
L'accès à distance ne permettait pas d'effectuer des appels téléphoniques de qualité avec les clients.
Pour faire face au risque d'interruptions prolongées et offrir une meilleure expérience de travail à distance, nous avons pris la décision de migrer toute notre infrastructure IT interne vers des services cloud. Ainsi, lorsqu'il a fallu généraliser le télétravail à temps plein, nous étions prêts.
Mes années d'expérience dans le secteur médical m'ont appris à quel point la résilience de la sécurité peut être bénéfique à une entreprise. Cela a notamment été le cas lorsque mon équipe a dû faire face à un type de malware hautement sophistiqué qui ciblait une marque relativement connue d'unités de soins intensifs.
Les équipements médicaux de soins intensifs servent à surveiller étroitement, à stabiliser et à traiter les patients en soins intensifs, qui souvent sont inconscients et dépendent de ces appareils pour survivre. Le malware a affecté la pompe à seringue (utilisée pour administrer une quantité spécifique de médicament) et la fonctionnalité de contrôle de la pompe, ce qui aurait pu menacer la vie des patients.
En analysant ces équipements, nous avons identifié à la fois les vulnérabilités actuelles et les menaces futures. Nous avons alors compris que nous devions adopter une toute approche en matière de mise à jour logicielle, de correctif et d'accès que pour les autres équipements informatiques. Nous avons mis en place un processus très sophistiqué pour les phases d'identification, de détection et de réponse de notre stratégie de résilience de la sécurité.
Nous avons ainsi pu identifier le malware dans un environnement de test isolé. Il s'est avéré que le malware avait été introduit par le biais d'un correctif compromis publié par le fournisseur. À l'époque, aucun logiciel de protection des terminaux n'était en mesure de détecter ce programme malveillant, et si nous avions suivi les mesures de sécurité habituelles, nous aurions mis la vie de centaines de patients en danger. Qui aurait pu imaginer que quelqu'un puisse créer un programme si malveillant pouvant attenter à la vie d'autrui ?
Pour de nombreux professionnels de la sécurité qui sont en première ligne, la résilience de la sécurité désigne la capacité d'une entreprise à faire face à des menaces connues et non connues. En continuant à se réinventer en temps de crise, les entreprises deviennent de plus en plus résilientes.
L'acquisition de solutions n'est qu'un élément du triangle Collaborateurs-Processus-Technologies. Il est tout aussi important d'avoir le personnel adapté pour les faire fonctionner. Les entreprises peinent souvent à garder leurs professionnels de la cybersécurité car elles ne les paient pas suffisamment et n'ont aucune visibilité sur la croissance exponentielle de ces collaborateurs et leur valeur sur le marché. Une relation plus étroite doit être établie entre les équipes de cybersécurité, des finances et des RH pour développer les programmes de sécurité.
Au départ, nous avons adopté une solution de gouvernance, de gestion des risques et de conformité (GRC) à la fois flexible et modulable, car c'était l'option la plus efficace. Sa plurifonctionnalité a ensuite largement facilité son adoption dans les différentes sphères de l'entreprise, car la solution couvrait la gestion des fournisseurs, la gestion des risques liés aux fournisseurs, la gestion des politiques et la gestion des risques informatiques. Elle offrait une solution centralisée pour la gestion des risques, mais aussi un référentiel pour les politiques de l'entreprise.
En tant que solution de gestion des fournisseurs, elle permettait également de gérer les risques associés à ces fournisseurs en les classant selon leur niveau de risque. L'équipe pouvait alors établir des profils de risque pour chaque fournisseur, ainsi qu'un profil de risque global pour les tiers. Le rapport coût/bénéfice d'une telle solution est facilement justifié lorsqu'on dresse la liste des processus manuels inclus dans chacun des cas d'usage.
Initialement déployée avec un seul module, la solution GRC est progressivement passée à quatre modules pour permettre à d'autres départements d'y centraliser leur documentation ou de l'utiliser pour leurs processus de base.
Il y a quelques années, j'ai travaillé avec une enseigne dont la chaîne d'approvisionnement externe présentait des risques très importants. Les attaques de la chaîne d'approvisionnement se multiplient depuis quelque temps. Mais le phénomène n'est pas nouveau. J'ai été chargé d'aider cette entreprise qui venait d'être victime d'une grave violation de données. La faille ne venait pas de son propre système de défense, mais de celui de l'un de ses principaux fournisseurs.
J'ai procédé à une analyse des fournisseurs de l'entreprise, en identifiant notamment les fournisseurs les plus stratégiques (ils faisaient appel à environ 200 fournisseurs). Nous nous sommes ensuite intéressés à ceux avec lesquels ils échangeaient des données personnelles et confidentielles, puis nous avons classé les fournisseurs en plusieurs niveaux, selon la classification des informations.
Nous avons audité tous les fournisseurs de premier niveau. Le client a ainsi pu identifier parmi ses fournisseurs ceux qui présentaient des risques, ce qui lui a permis ensuite d'affiner ses critères de sélection. Désormais, ces critères englobaient la qualité de la marchandise, mais également les mesures de sécurité.
En matière de résilience, il est important de pouvoir identifier un comportement anormal, mais aussi de le faire rapidement. On parle alors de délai moyen de détection et de délai moyen de réponse.
Les menaces et les incidents sont réels. Une entreprise est résiliente quand elle parvient à réduire à la fois les risques d'incident et l'impact d'une menace avérée.
Lorsque vous travaillez dans le secteur de la Cyber Threat Intelligence au Royaume-Uni, vous ne devez à aucun moment baisser la garde. Par chance, nous avons conçu notre infrastructure de manière à réduire notre surface d'exposition aux attaques et celle des services vulnérables.
Notre investissement dans ces bonnes pratiques offre également un degré confortable de résilience. Il est essentiel pour nous de travailler avec des développeurs compétents qui créent du code sécurisé qui est ensuite déployé dans le respect rigoureux de la norme ISO 27001.
En tant qu'entreprise quasi virtuelle, nos données et nos e-mails résident dans des clouds SaaS dont les fournisseurs garantissent un niveau optimal d'accessibilité et de protection des données. Comme nous évoluons dans le domaine de la Cyber Threat Intelligence, tous nos collaborateurs ont connaissance des menaces qui pèsent sur les entreprises, y compris sur la nôtre.
Nous collaborons également avec un responsable de la conformité, et toutes nos équipes luttent au quotidien contre les hackers dans les environnements physiques comme virtuels. Cela favorise une solide culture de la sécurité, ainsi qu'un niveau élevé de résilience.
« Il est essentiel pour nous de travailler avec des développeurs compétents qui créent du code sécurisé qui est ensuite déployé dans le respect rigoureux de la norme ISO 27001. »
Je travaillais déjà sur la résilience lorsque j'étais responsable de la confidentialité chez Cisco. Au moment d'établir les contrats, les clients exprimaient une certaine méfiance et semblaient perplexes à l'idée d'acheter des produits de collaboration ou d'autres produits touchant à la confidentialité des données. Au cours de longues négociations, ils s'inquiétaient notamment du lieu où seraient stockées les données, ou encore de qui allait gérer les données de connexion de leurs collaborateurs et clients.
La solution m'est apparue alors que je visitais le musée du transport de Londres : elle tenait dans la simplicité des cartes du métro londonien. Et si nous pouvions montrer aux clients quelles données étaient utilisées, où et pendant combien de temps, dans une infographie simple à comprendre ?
C'est la raison pour laquelle nous avons créé le Cisco Trust Center, dont les résultats ont été immédiats, mesurables et durables. Le fait de pouvoir visualiser les problèmes systémiques et complexes aide les équipes à planifier, investir et développer des solutions communes.
Aujourd'hui, je dirige l'entreprise PrivacyCode, Inc. Nous fournissons une plateforme qui aide les professionnels qui doivent créer et appliquer des politiques et normes complexes de les transformer efficacement en tâches consommables, mesurables et actionnables pour les équipes techniques.
Dans un monde qui ne cesse d'évoluer et de gagner en complexité, une communication claire et des solutions granulaires favorisent la résilience. Je recherche toujours des moyens simples et faciles à déployer pour résoudre les défis les plus fous.
« Dans un monde qui ne cesse d'évoluer et de gagner en complexité, une communication claire et des solutions granulaires favorisent la résilience. »
