Si tout le monde parle de cybersécurité et de solutions pour protéger les systèmes d’information, peu de personnes savent ce qu’est la cyber-résilience. «C’est la capacité pour l’entreprise de continuer ses activités face à une cyberattaque. Dans le contexte actuel, les sociétés pensent beaucoup à la protection ou au monitoring. Celles qui se sentent protégées n’ont pas forcément ce qu’il faut pour être cyber-résilientes», précise Thomas Chiche, Cyber Security Operations Manager chez Sogeti.
Bon nombre d’entreprises recourent aujourd’hui à des audits de sécurité pour évaluer leur maturité dans ce domaine et leur posture face à la menace. Un audit de résilience est également nécessaire et doit être réalisé par des experts forensic pour souligner les points de faiblesse en cas d’attaque. «Il est important aujourd’hui que les entreprises prennent conscience de l’importance de la cyber-résilience. Celles qui ne l’ont pas encore mise en place doivent commencer à le faire, les autres doivent la renforcer.»
Un processus en quatre étapes
Afin de renforcer cette cyber-résilience, les sociétés doivent suivre plusieurs étapes. La première consiste à mieux se protéger, et cela ne peut pas se faire sans une phase de préparation au préalable. «Cela veut dire identifier les assets les plus précieux du business et renforcer leur sécurité, mais également réaliser une analyse des actions à entreprendre pour mieux protéger l’entreprise et minimiser les impacts des attaques.»
Vient ensuite une phase de détection des menaces pour agir plus rapidement et de façon plus efficace en cas d’attaque. Les SOC (Security Operations Centers) vont permettre de détecter et monitorer, mais n’assurent pas de protection. Avoir des mesures de protection ainsi qu’un système de détection est donc nécessaire. «Les entreprises vont dans les SOC avec des MSSP (Managed Security Services Providers) pour proposer des solutions à travers des SIEM. Pour avoir une meilleure visibilité et élargir sa capacité en termes de détection, il faut ajouter les EDR (Endpoint Detection & Response), car beaucoup d’attaques passent par les endpoints. Les NDR (Network Detection and Response), qui agissent sur la partie réseau, ne doivent pas être oubliés.» Améliorer cette phase de détection d’un point de vue purement technique passe donc par la combinaison de ces trois outils couplés à de fortes compétences d’analyse et de «Threat Intelligence». Une fois mature, le SOC devra être testé: des outils permettent aujourd’hui d’imiter les attaques les plus complexes afin d’éprouver la capacité réelle d’un SOC à détecter et suivre une attaque en temps réel, à jouer pleinement son rôle.
La troisième étape consiste à s’assurer d’avoir une réponse rapide à un incident. Disposer d’une équipe au fait de la législation locale et munie d’outils appropriés pour intervenir rapidement est donc crucial. «Cette équipe doit être externe et spécialisée. Il faut les bons outils pour collecter les informations, récupérer les données dont on a besoin. Dans une situation de crise, il y a toujours du stress, c’est bien d’avoir une équipe indépendante. Chez Sogeti, notre SWAT team (Security Worldwide Assistance Team) peut intervenir dans un délai de 24 heures en Europe et en 72 heures dans le monde.»
Enfin, il est important d’avoir la capacité de remettre les systèmes en état et de restaurer les données.
Mettre en place un plan de gestion de crise
Toutes ces étapes à prendre en compte pour être résilient poussent les sociétés à démarrer par un plan de gestion de crise. Des études montrent que seuls 10% des entreprises sont prêtes en cas d’attaque. Celles-ci seraient en croissance de 25% et neuf semaines environ seraient nécessaires pour réparer les dommages. «Une société qui n’est pas prête à réagir face à une attaque peut s’exposer à des coûts financiers, un risque de fermeture, une mauvaise image ou une perte de clients. Certaines entreprises, plutôt que de mettre en place un plan, préfèrent s’assurer. Les assurances c’est bien, mais ce n’est pas suffisant.»
Démarrer sur un bon plan implique un vrai engagement et du leadership au plus haut niveau. «Tout cela demande un investissement. Pour pouvoir bénéficier des budgets nécessaires pour mettre ces projets en place, il faut une forte implication du conseil d’administration.» Cette prise de conscience doit en effet venir du haut pour assurer sa résilience. Or aujourd’hui, certains pensent que les attaques n’arrivent qu’aux autres et qu’ils sont protégés. «Aujourd’hui, on ne se pose plus la question de si vous allez vous faire attaquer, mais quand. Les entreprises optent pour un modèle qui protège peu et ne prennent pas d’action globale sur du long terme, car il faut retravailler, faire des exercices, simuler des attaques, savoir quels sont les assets cruciaux, comment faire face à une attaque…»
Aujourd’hui, on ne se pose plus la question de si vous allez vous faire attaquer, mais quand.
Aujourd’hui, les enjeux sont donc multiples. Il s’agit tout d’abord de réduire les impacts en cas de crise, être en conformité avec les politiques du groupe et les réglementations incombant à l’entreprise, mais également de préserver la confiance des clients, y compris en cas d’incident majeur, et montrer sa robustesse pour capter de nouveaux marchés. «Une entreprise avec une bonne gestion de crise, une résilience et avec une équipe montrant qu’elle peut intervenir, va donner confiance aux clients et aux assureurs. C’est aussi une opportunité pour elle de mieux se positionner sur le marché.»