Pour faire face à l'explosion de la cybercriminalité et à son impact sur les activités des entreprises, de nombreuses organisations mettent à jour leurs plans de reprise après sinistre afin d'y inclure la réponse aux cyberincidents. Bon nombre des processus et des lignes directrices des plans de reprise après sinistre traditionnels n'ont guère évolué depuis des années, parfois même depuis plus de dix ans, ce qui les rend mal adaptés à la lutte contre les cyber-catastrophes. Plus important encore, au niveau de l'entreprise, la reprise après sinistre n'est qu'un aspect d'une discipline plus vaste : la résilience opérationnelle.
Simon Hodgkinson, ancien responsable de la sécurité de l'information chez bp et conseiller stratégique chez Semperis, souligne la nécessité pour les organisations d'envisager la reprise après sinistre dans le contexte de la viabilité globale de l'entreprise - y compris la prévention, la détection et la réponse aux cyberattaques.
"La reprise après sinistre a une définition assez étroite et est généralement envisagée dans un cadre temporel restreint", explique-t-il. "La résilience opérationnelle est beaucoup plus large et comprend des aspects tels que le type de gouvernance que vous avez mis en place, la façon dont vous gérez les risques opérationnels, vos plans de continuité des activités et la gestion des risques cybernétiques, des risques liés à l'information et des risques liés aux fournisseurs tiers".
En d'autres termes, les plans de reprise après sinistre s'intéressent principalement à la reprise. La résilience opérationnelle s'intéresse à l'ensemble de votre écosystème et à ce qui peut être fait pour que votre entreprise reste opérationnelle en cas d'événements perturbateurs.
Réparer une chaîne brisée
L'objectif plus large de la résilience opérationnelle nécessite la participation de l'ensemble de l'organisation. Vous ne pouvez pas vous contenter de confier cette tâche à un seul service ou à une seule équipe. Au contraire, tout le monde doit être impliqué, depuis les dirigeants et le conseil d'administration jusqu'aux employés individuels de plusieurs départements.
"Les dirigeants doivent comprendre les risques et connaître la tolérance et l'appétit de l'entreprise pour le risque", explique M. Hodgkinson. "Cela inclut même des éléments tels que les fonctions d'approvisionnement et les accords avec les fournisseurs tiers. La résilience doit être intégrée à tous les niveaux Si un seul fournisseur ne suffit pas à gérer les risques, la diversité de l'offre s'impose".
M. Hodgkinson évoque une réalité importante que beaucoup semblent oublier : dans le climat actuel, votre organisation n'est pas la seule à être menacée. Vos fournisseurs, partenaires et vendeurs sont également des cibles. Si un fournisseur important est compromis ou mis hors d'état de nuire, votre entreprise risque de sombrer avec lui.
"J'ai vu de nombreux cas intéressants où un cyber-événement chez un fournisseur a empêché plusieurs organisations d'atteindre leurs objectifs commerciaux", se souvient M. Hodgkinson. "Prenons l'exemple d'une entreprise de vente au détail qui fait appel à un fournisseur de services logistiques pour acheminer ses produits jusqu'à ses points de vente et qui est confrontée à des ruptures de stock. Pour éviter de tels scénarios, il faut adopter une perspective plus large. Dans le contexte de la résilience opérationnelle, chaque scénario et processus de gestion des risques doit prendre en compte la chaîne d'approvisionnement."
Mettre l'"opération" dans la résilience opérationnelle
Le ministère américain des transports a proposé une amende de 1 million de dollars à Colonial Pipeline pour "défaillances dans la gestion de la salle de contrôle"dans la cyberattaque de 2021 qui a perturbé la livraison de gaz dans l'est des États-Unis, s'ajoutant aux pertes de revenus de l'entreprise dues à l'attaque elle-même. Le gouvernement estime que l'entreprise n'a pas tenu compte de la résilience opérationnelle : Au lieu de planifier la gestion et la limitation de la portée d'un incident, l'entreprise a simplement fermé ses réseaux de contrôle des processus au moment où les logiciels malveillants ont frappé ses systèmes.
"C'est un scénario très intéressant", déclare M. Hodgkinson. "Malheureusement, je ne pense pas qu'il soit unique. Je dirais que de nombreuses organisations ne comprennent pas pleinement l'impact de la technologie opérationnelle en cas de cyberincident.
"Idéalement, les organisations qui gèrent des infrastructures nationales ou des approvisionnements critiques devraient penser davantage à la gestion de la continuité des activités et aux contrôles d'atténuation", explique-t-il. "Une telle réflexion commence par la connaissance de leur profil de risque et la planification appropriée pour le gérer. Les organisations doivent également tester ce qu'elles peuvent faire en termes d'arrêt de leurs réseaux, en s'assurant qu'elles ont la capacité de couper la connexion entre les technologies de l'information et les technologies opérationnelles, afin que les logiciels malveillants n'entraînent pas un arrêt brutal de tout."
Combler le fossé entre l'informatique et l'informatique de terrain
La technologie utilisée dans les systèmes tels que les pipelines et les raffineries est nettement différente de celle utilisée dans un environnement de bureau classique. Les protocoles de réseau sont différents, l'approche de la pile de sécurité est différente et les questions de sécurité sont plus importantes. Selon M. Hodgkinson, l'une des plus grandes sources de friction pour les entreprises industrielles - et la raison pour laquelle les efforts de résilience opérationnelle échouent si souvent - est la déconnexion entre les technologies de l'information (TI) et les technologies opérationnelles (TO).
Aucun des deux départements ne comprend parfaitement les flux de travail et les défis de l'autre. Ce décalage doit changer. Et cela commence par un changement de perception.
"Je pense que le problème actuel réside en partie dans le fait que la cybernétique est toujours considérée comme un domaine à part", explique M. Hodgkinson. "La discussion semble toujours se conclure par l'hypothèse que l'équipe de sécurité ou le service informatique gère un risque particulier et que personne d'autre n'a besoin de s'en préoccuper. Nous devons démystifier la cybersécurité. Ce n'est qu'avec une bonne compréhension de l'entreprise et une appropriation des risques que l'on peut mettre en place des mécanismes de résilience adéquats. Ce qui a très bien fonctionné dans mon expérience chez bp, c'est d'amener l'ingénierie dans la cybernétique et la cybernétique dans l'ingénierie, en donnant à chaque équipe une expertise et une perspective qui lui manquaient auparavant".
En réalité, les priorités diffèrent d'une équipe à l'autre. L'équipe d'ingénierie peut être consciente de l'importance de la cybersécurité, mais doit donner la priorité aux éléments de procédure et aux questions de sécurité. En encourageant la collaboration interdépartementale, les entreprises peuvent déterminer comment faciliter le déploiement des contrôles et des stratégies dans chaque environnement.
"Je pense qu'en fin de compte, tout est une question de contexte", explique M. Hodgkinson. "Quel est l'objectif de l'entreprise et quels sont les résultats qu'elle cherche à atteindre ? Comment soutient-elle ces résultats ? Quelle technologie utilise-t-elle ? Qu'est-ce qui compte pour elle en termes de confidentialité, d'intégrité et de disponibilité ?
L'importance de la sécurité et de la restauration d'Active Directory pour renforcer la résilience opérationnelle
Active Directory (et Azure AD, dans les environnements d'identité hybrides) occupe une place centrale dans la quête de résilience opérationnelle.
"Vous disposez d'un mécanisme de hiérarchisation, mais il est intéressant de noter que je pense que les gens oublient souvent que l'application la plus importante [dans toutes] les dimensions est Active Directory", déclare M. Hodgkinson. "Sans elle, vous ne pouvez atteindre aucun de vos objectifs commerciaux. Active Directory est au cœur même de votre capacité à fonctionner et à produire des résultats commerciaux, et il doit faire partie de votre stratégie de résilience opérationnelle au lieu d'être traité comme un îlot".
Jouer un rôle actif dans la résilience opérationnelle
Les plans de reprise après sinistre axés sur les catastrophes naturelles sont insuffisants pour faire face aux menaces modernes qui pèsent sur la résilience opérationnelle. Parce que le système d'identité de l'organisation est essentiel au fonctionnement des opérations - et constitue la cible principale des cyberattaques - il est primordial de le protéger. En donnant la priorité à la défense du système d'identité, les organisations peuvent s'attaquer à l'une des menaces les plus graves pour la résilience opérationnelle.
En savoir plus
- Atteindre la résilience opérationnelle avec Simon Hodgkinson
- Évaluer le retour sur investissement d'une restauration rapide d'Active Directory
- Votre plan de reprise après sinistre Active Directory couvre-t-il les cyberattaques ?
- Planifier une cyber-crise avec les experts du panel HIP France
- Comment obtenir la meilleure assurance cybernétique en faisant preuve de résilience opérationnelle ?