D’après l’enquête Bilan 2019 de la cyber-résilience d’Accenture, les entreprises qui réussissent à réduire le nombre et les nuisances des cyberattaques, et surtout à reprendre leur activité en minimisant le temps d’arrêt et les dommages, rassemblent trois critères.
En 2020, les entreprises doivent déterminer comment utiliser la technologie pour renforcer leur agilité, leurs performances, ceci tout en mettant l'accent sur l'expérience client. En y ajoutant les efforts qui doivent être consentis pour assurer la sécurité des données et des applications, il semble que la tâche est herculéenne pour n’importe quelle entreprise, quelle que soit sa taille.
C’est là que le concept de cyber-résilience intervient selon certains experts. En effet, la cyber-résilience est le dernier avatar d’une longue série de concepts de sécurisation dont le dernier en date, le zero-trust, ou zéro confiance, repose sur le contrôle des identités de tout accédant, interne ou externe, aux données et aux applications.
Le concept de zéro confiance suppose que personne n’est digne de confiance. C’est radical, mais c’est la seule réponse trouvée pour contenir les attaques, de plus en plus nombreuses et ciblées, consécutives aux vols de données d’accès et plus généralement aux ravages de l’ingénierie sociale. Il tente également de conformer les entreprises aux réglementations concernant la protection des données relatives à la vie privée.
Le combat contre le cybercrime est sans fin…
Mais ce concept de contrôle micro-périmétrique des accès n’a pas prouvé son efficacité. De plus, il ne peut rien contre les attaques via les diverses failles de sécurité applicatives et des OS, les erreurs de configuration, les malwares et autres rançongiciels, et bien d’autres portes d’accès connues et inconnues, humaines et technologiques. Il n’y a qu’à lire les différents comptes rendus des attaques de ces derniers mois pour s’en rendre compte.
Malgré tous les investissements et les efforts de conformité fournis, les entreprises ne voient pas le bout du tunnel. En réalité il n’y a pas de bout du tunnel, le combat contre le cybercrime est un processus sans fin. Il faut se résigner à être attaqué par tous les moyens.
… alors, autant se préparer au pire
C’est là que le concept de cyber-résilience entre en jeu. La cyber-résilience suppose que, malgré tous les efforts de protection mis en place, nul ne sera épargné par les attaques, dont certaines seront obligatoirement réussies, alors autant se préparer à colmater les brèches et reprendre son activité le plus rapidement possible. C’est ce que suppose aussi le concept de plan de continuité d’activité. Dans ce cas, la cyber-résilience n’est-elle pas un nouvel habillage pour un ancien concept ?
Si l’on se réfère à la définition de la norme ISO 22301 : 2012, le PCA et la cyber-résilience c’est du kifkif. D’après l’organisme de certification, le PCA est un « processus de management holistique qui identifie les menaces potentielles pour une organisation, ainsi que les impacts que ces menaces, si elles se concrétisent, peuvent avoir sur les opérations liées à l’activité de l’organisation, et qui fournit un cadre pour construire la résilience de l’organisation, avec une capacité de réponse efficace préservant les intérêts de ses principales parties prenantes, sa réputation, sa marque et ses activités productrices de valeurs ».
Les trois piliers de la cyber-résilience
D’après une enquête réalisée par Accenture auprès de 4 600 responsables de la sécurité à travers le monde (soit 15 pays, dont la France), dans des entreprises de plus d’un milliard de dollars de chiffre d’affaires, les entreprises qui réussissent leur cyber-résilience combinent trois critères :
1Les capacités d’adaptation du SI
Les entreprises qui réalisent les investissements de mise à l’échelle des technologies de sécurité sont quatre fois plus performantes que les autres en matière de défense contre les attaques.
2La formation
Les entreprises qui investissent dans la formation sur les outils de sécurité sont deux fois plus efficaces que les autres à se défendre contre les attaques. (On remarquera à ce stade que la formation concerne seulement les outils de cybersécurité, mais pas les bonnes pratiques et les gestes à ne pas faire. NDLR).
3La collaboration
Les entreprises qui collaborent sont deux fois plus efficaces, grâce à un engagement plus important avec l’écosystème de partenaires et d’une coopération avec d’autres entreprises, organismes gouvernementaux et communauté de sécurité au sens large.
Bien entendu, ces critères une fois remplis ne garantissent pas contre les attaques réussies. Mais selon le rapport, elles permettent de réduire les infractions, d’accélérer la vitesse de détection et de remédiation, et de réduire la nuisance des impacts.
Source : Accenture