Dans l’environnement professionnel hyperconnecté actuel, où les mots « systèmes générés par l’IA », « stratégies multicloud » et « edge computing » sont au cœur de toutes les discussions, il peut être tentant d’essayer de traiter chaque risque émergent avec le même degré d’urgence. Toutefois, pour réussir à gagner en résilience, le secret ne consiste pas à être sur tous les fronts à la fois, mais à prendre des mesures adaptées.
Les entreprises modernes sont confrontées à un paysage des menaces complexe, imprévisible et où la moindre erreur peut vite coûter très cher. Qu’il s’agisse d’attaques de ransomwares, de perturbations de la chaîne d’approvisionnement, ou encore de l’attention croissante portée à la souveraineté des données, tenter d’éliminer tous les risques est non seulement irréaliste, mais aussi impossible. La véritable résilience commence en acceptant que tout ne peut pas être résolu ou évité.
Établir ses priorités
Aujourd’hui, les entreprises résilientes adoptent une approche progressive en matière de risques et ne cherchent pas à s’attaquer à toutes les vulnérabilités en même temps. Elles établissent plutôt des priorités en fonction des impacts et des problèmes potentiels, tout en s’assurant que les actifs critiques soient protégés et que les stratégies de reprise concordent avec leurs objectifs de continuité d’activité. Pour les organisation du monde entier, la résilience revêt une importance cruciale, alors que les attaques continuent de se multiplier et de gagner en sophistication. Selon une étude récente, 89 % ont vu leurs référentiels de sauvegarde ciblés par des acteurs malveillants, une tactique de plus en plus courante dans les campagnes de ransomware. Le rapport fait un constat alarmant : moins de 44 % des entreprises incluent des vérifications de sauvegarde dans leur plan d’action contre les ransomwares. Il n’est donc pas surprenant d’observer que, alors que 69 % des victimes de ransomwares pensaient être correctement préparées, leur confiance ait chuté de 20 % après avoir essuyé une attaque.Il faut ainsi garder à l’esprit que même les entreprises les mieux préparées doivent constamment réévaluer les risques les plus importants et agir en conséquence.
La résilience commence par une évaluation rigoureuse des risques
Quelle que soit sa taille ou son secteur d’activité, chaque organisation doit intégrer l’évaluation des risques dans ses procédures opérationnelles courantes et non pas la considérer comme une simple formalité réglementaire annuelle à remplir. Cela implique d’évaluer en continu les lacunes présentes dans les référentiels de sauvegarde, l’intégrité des sauvegardes existantes et la capacité de récupération des données.Malgré le renforcement des réglementations, de nombreuses entreprises restent mal préparées. En effet, plus de cinq organisations sur dix estiment qu’elles ont besoin d’opérer une refonte en profondeur pour aligner pleinement leurs opérations informatiques sur leurs équipes de cybersécurité. En l’absence de bases solides en matière de résilience des données, même les défenses générées par l’IA les plus avancées ne peuvent empêcher de nouvelles contaminations ou des mouvements latéraux après un incident.
Afin de toujours garder une longueur d’avance, la planification de la résilience doit être adaptable et évolutive. Si les risques évoluent, les contrôles associés doivent faire de même. Qu’il s’agisse d’identifier les temps d’arrêt provoqués par les ransomwares (qui sont estimés à moins de 24 heures dans la plupart des cas) ou de suivre l’évolution des exigences réglementaires, il est essentiel de procéder à des réévaluations régulières.
Les principes de résilience sont universels
Quel que soit le secteur d’activité ou la région concernés, le défi sous-jacent reste le même : comment renforcer sa résilience sans multiplier les solutions ou alourdir la charge de travail des équipes ?Une chose est sûre : les entreprises qui concentrent leurs efforts sur la résilience parviennent à obtenir de meilleurs résultats. Par exemple, celles qui font appel à des experts tiers lors de la phase de réponse à un incident sont 156 % moins susceptibles de payer une rançon et, même lorsqu’elles le font, paient généralement 45 % de moins que la moyenne. Il ne s’agit pas seulement d’un gain financier, mais aussi d’un signe de maturité opérationnelle.
La résilience n’est pas un synonyme de «perfection». Il s’agit avant tout d’atteindre un haut niveau de confiance grâce à des choix intelligents et réfléchis. Qu’une entreprise soit située à Sydney, à Singapour, à New-York ou à Munich, le principe reste le même : la résilience se construit avant tout en prenant des mesures adaptées et en faisant correctement les choses une à une.
Faire des choix plus éclairés avec des ressources limitées
Alors que les responsables informatiques sont confrontés à des restrictions budgétaires et à des exigences de plus en plus strictes, ils doivent se montrer intransigeants dans leurs priorités. Selon une étude menée par McKinsey, 74 % des entreprises dans le monde ne respectent pas les bonnes pratiques recommandées en matière de résilience des données, et près d’un tiers des DSI surestiment leur niveau de maturité opérationnelle. À l’inverse, les entreprises les mieux préparées et donc les plus performantes se rétablissent jusqu’à sept fois plus rapidement après une panne et connaissent des temps d’arrêt trois fois moins long en moyenne.La résilience ne requiert pas nécessairement de grands investissements en capital. En réalité, chaque dollar investi dans des mesures de résilience des données permet aux entreprises de gagner entre 3 et 5 dollars par temps d’arrêt, par exposition légale ou par perturbation opérationnelle évités. Une hiérarchisation intelligente des priorités offre, sans aucun doute, un retour sur investissement concret.
Viser la progression, pas la perfection
La poursuite de la résilience ne consiste pas seulement à éliminer toutes les menaces. Il s’agit avant tout de savoir où agir et de prendre des mesures adaptées. Les organisations les plus résilientes ne visent pas la perfection, mais un niveau de résilience qui leur permet de gagner en confiance. Elles identifient les risques les plus importants, allouent efficacement leurs ressources et établissent une cohésion interne sur les sujets les plus importants.À mesure que l’avenir se dessine, il est préférable de se demander « comment s’assurer que les données et les actifs critiques soient protégés, sauvegardés et récupérables ? » au lieu de chercher à éviter les problèmes à tout prix. Face aux perturbations, la résilience n’est pas tant une question de prévention que de confiance dans le fait que l’entreprise sera peut impactée.
Par Rick Vanover, Vice President of Product Strategy, Veeam Software
