Selon le rapport d’activité de l’ANSSI, les attaques sur le territoire français sont restées stables en 2022, avec plus de 200 actes malveillants ; ces derniers se révèlent toutefois toujours plus complexes et sophistiqués. Le maître mot est donc de défendre et de réagir, mais aussi de travailler à la cyber-résilience des entreprises nationales. Le terme "résilience" vient de la physique : Il s'agit de la capacité d'une substance à reprendre sa forme habituelle après avoir été pliée, étirée ou pressée. Le but ultime pour les organisations réside alors dans leur capacité à maintenir les systèmes informatiques en état de marche lors, et après, une cyberattaque.
L'objectif est d'éviter les temps d'arrêt de l’activité et tous les coûts associés, notamment des pertes en termes de revenus, de productivité et de fidélité des clients.
Un cyberespace qui pousse à la prise de mesures légales
Compte tenu de l’importance du flux de cyberattaques aujourd'hui, il est essentiel de développer la cyber-résilience pour maintenir la productivité en la sécurisant. La Commission Européenne et sa présidente Ursula von der Leyen ont ainsi concrétisé en mars 2022 le Cyber Resilience Act, qui comprend une directive sur la sécurité des réseaux et des systèmes d’information (directive SRI), un règlement sur la cybersécurité, ainsi que la future directive concernant des mesures destinées à assurer un niveau commun élevé de cybersécurité dans l’Union Européenne (SRI 2). Ce type d’initiative permettrait d’assurer concrètement la cyber-résilience par trois aspects essentiels : rendre difficile pour un adversaire de mener à bien une attaque ; être prêt et apte à maintenir les activités en cas d'attaque ; utiliser l'expérience acquise suite à une attaque afin de mieux rebondir à l'avenir.
Compte tenu de ces objectifs, la cyber-résilience est plus qu'une nouvelle façon de parler de la reprise après sinistre et de la continuité des activités. En faisant évoluer une organisation pour qu'elle soit résiliente face aux cyberattaques, elle intègre également la sécurité numérique dans tous les processus opérationnels critiques qui apportent de la valeur à une entreprise.
Des capacités organisationnelles nécessaires pour la cyber-résilience d’une entreprise
Lorsqu’une entreprise élabore une stratégie plus pointue face aux cybermenaces, certaines questions sont essentielles : Quelle est la durée nécessaire à la détection d’une attaque ? Quelle est la marche à suivre en cas d’attaque et en combien de temps ? Quels sont les processus opérationnels qui permettent de soutenir une activité normale même en cas de compromission ?
Il est également clé d’identifier les processus opérationnels qui pourraient être affectés, voire même compromis, à la suite d’un acte malveillant. Une entreprise et son équipe IT doivent donc établir les procédés à suivre après une suspicion de cybermenace. La connaissance des actifs informatiques critiques de ces processus opérationnels permet souvent d’éviter des conséquences désastreuses sur les données et le fonctionnement d’une structure toute entière. Or, les managers ne sont bien souvent pas conscients des cyber-risques auxquels leurs actifs numériques sont exposés ou de l'impact d'une panne sur leurs capacités opérationnelles. Être au fait de ces points assure pourtant une amélioration de la visibilité des processus pertinents et la communication entre les personnes chargées de la sécurité et celles qui ne le sont pas.
La détection des cyber-risques en entreprise
Travailler à une plus grande cyber-résilience pour une entreprise revient, aussi, à pouvoir identifier clairement les lacunes techniques et organisationnelles qui vulnérabilisent les structures IT. L’anticipation joue ainsi un rôle clé dans la détection des cyber-risques via des exercices de simulations de compromission, ou des effets possibles sur les processus métier d’une entreprise. Ces exercices travaillent la réactivité et participent à la cyber-résilience des structures.
Toute organisation évolue en effet : les nouveaux produits et services visent à créer des flux supplémentaires générateurs de valeur et nécessitent des changements spécifiques. Ces derniers sont inévitablement associés à des lacunes et des vulnérabilités. Par exemple, un nouvel actif ne se voit pas attribuer le niveau de protection nécessaire, ou une politique de cybersécurité stricte oblige les employés à la contourner pour être en phase avec la nouvelle configuration. La seule détection de ces risques engage un grand pas vers la voie de la résilience numérique.
Des capacités d'atténuation
Si une entreprise réussit à appréhender clairement les signes de cybermenaces, elle doit aussi détenir les capacités nécessaires à l’atténuation des conséquences d’une compromission. La question est donc de se demander si une équipe IT a les moyens, après avoir identifié une faille, de la corriger efficacement ou d’atténuer les risques qu’elle présente afin de limiter la vulnérabilité.
Ensuite, il faut considérer que la cyber-résilience vient d’un ensemble abouti et consolidé, et donc s’interroger sur l’architecture de cybersécurité globale d’une organisation. Ce sera alors l’occasion de vérifier que les processus opérationnels de cette dernière sont en accord avec cette stratégie. Après cet état des lieux, il est aussi intéressant de jauger la rapidité dans la réactivité face à l’émergence de nouvelles menaces et attaques, mais également les capacités d’atténuation sur les processus opérationnels critiques, pour limiter au mieux les effets sur l’activité de l’entreprise.
Enfin, si les cybercriminels sont toujours plus actifs et parviennent à passer la défense érigée par les entreprises soucieuses de leur sécurité, il s’agira de poursuivre au mieux une activité normale. S’il n’est pas toujours possible d’éviter une attaque, le plus important reste de tirer des enseignements sur les raisons du succès de cette campagne malveillante pour améliorer leur cyber-résilience à l’avenir.
En somme, les cybermenaces sophistiquées poussent les entreprises à développer des architectures de sécurité élaborées, pour assurer la plus haute cyber-résilience possible. Les entités européennes entendent soutenir les structures pour assurer une meilleure appréhension des organisations, et ce cheminement demande des capacités organisationnelles claires, de la détection à la compréhension, pour pouvoir corriger toute vulnérabilité. Il y a ainsi une nécessité d'aborder la gestion du changement et de la vulnérabilité pour atteindre la cyber-résilience.