Remettre les pendules à l’heure
Si la prise de conscience constitue une étape importante du processus, la préparation en est une autre. Alors que les critères de référence du secteur sont mieux établis et que les entreprises savent désormais ce dont elles ont besoin, elles sont mises face à une constatation dérangeante : elles ne sont malheureusement pas aussi bien préparées qu’elles devraient l’être.Un récent rapport sur la résilience des données au sein des grandes entreprises, mené en collaboration avec le cabinet McKinsey, a notamment révélé que plusieurs aspects clés de la cyberrésilience (incluant des principes fondamentaux tels que « les personnes et les processus ») étaient régulièrement signalés par les entreprises interrogées comme présentant des lacunes importantes.
Comment les entreprises en sont-elles arrivées là et comment peuvent-elles combler ces lacunes ? Pour les décideurs, la résilience n’est peut-être pas perçue comme un sujet prioritaire ou une préoccupation critique pour l’entreprise. Historiquement, elle a souvent été rattachée à la cybersécurité générale et tout le monde supposait qu’elle était
déjà mise en place.
Malheureusement, comme pour la plupart des incidents, la résilience des données ne peut être appréciée à sa juste valeur que lorsque les choses tournent mal. À l’exception du RSSI, les dirigeants d’entreprise ont souvent tendance à considérer les processus de sauvegarde et de récupération comme des filets de sécurité : ils oublient généralement leur présence, jusqu’à ce qu’ils soient impliqués dans un incident et qu’ils se félicitent soudainement d’avoir pensé à les mettre en place.
Grâce aux mesures répressives prises à l’encontre de certains des groupes de cybercriminels les plus importants, tels que BlackCat et LockBit, certains ont pu penser que le nombre de cyberattaques avait tendance à diminuer. Mais la réalité est toute autre : rien que l’année dernière, 69 % des entreprises ont essuyé au moins une attaque et 74 % d’entre elles reconnaissent n’avoir toujours pas adopté de bonnes pratiques en matière de résilience des données.
Aujourd’hui, les menaces ne cessent d’évoluer et prennent notamment la forme de plus petits groupes ou d’attaquants isolés qui parviennent à passer entre les mailles du filet. Par ailleurs, une nouvelle sous-section d’attaquants implique l’utilisation d’un tout nouvel arsenal, avec notamment des méthodes encore plus rapides d’attaque par exfiltration de données, qui ont de plus en plus le vent en poupe.
L’écriture est sur le mur
Selon le même rapport conduit en collaboration avec McKinsey, 74 % des entreprises interrogées ont révélé qu’elles ne disposaient pas de la maturité nécessaire pour se remettre d’une cyberattaque rapidement et en toute confiance. Si les lacunes en cyber résilience sont souvent une affaire de négligence, dans le cas présent, bon nombre de ces défaillances ont été directement signalées par l’entreprise. Pourtant, si les organisations sont conscientes de leurs lacunes, pourquoi n’ont-elles pas fait en sorte de les combler ?Pour certaines d’entre elles, il pourrait seulement s’agir d’une prise de conscience un peu tardive. La récente vague de réglementations européennes, notamment NIS2 et DORA, a mis l’accent sur ce problème en obligeant les entreprises à renforcer leur résilience à tous les niveaux. L’année dernière, en prévision des échéances de respect de la conformité, les entreprises ont dû évaluer minutieusement leur résilience en matière de données : beaucoup d’entre elles se sont prêtées à l’exercice pour la première fois, identifiant de nombreux angles morts encore insoupçonnés.
Cependant, quelle que soit la manière dont elles ont pris conscience de leurs lacunes, les entreprises n’ont pas été prises au dépourvu du jour au lendemain. Pour beaucoup d’entre elles, cela s’est fait progressivement, notamment car leurs normes en matière de résilience des données devenaient obsolètes à mesure que de nouvelles technologies et de nouvelles applications plus modernes étaient adoptées.
Par ailleurs, puisque la plupart des entreprises utilisent l’IA au gré de leurs besoins pour garder une longueur d’avance sur leurs concurrents et optimiser leurs processus opérationnels, l’impact sur leurs profils de données est largement passé inaperçu. La simple quantité de données nécessaires et générées par ces applications a créé des profils de données tentaculaires qui dépassent largement les mesures de résilience des
données existantes.
Associé à une compréhension insuffisante de la résilience des données modernes, on obtient la recette parfaite pour un désastre. Le plus souvent, chacun ignore ce qu’il ne connaît pas ; en conséquence, de nombreuses entreprises ont pris comme référence des critères erronés. Bien sûr, il vaut mieux cela que ne rien faire du tout, mais la résilience des données ne peut pas être mesurée sur le papier. En théorie, leurs processus peuvent fonctionner, mais en réalité, c’est une tout autre affaire.
Avancer dans la bonne direction
Quelle est donc la prochaine étape à suivre ? Plutôt que d’attendre qu’un incident survienne et les mette dans une position délicate, les entreprises doivent accepter de se sentir parfois vulnérables. Elles doivent identifier et résoudre leurs lacunes de manière proactive, même si cela peut les mettre mal à l’aise.La première étape pour toute organisation dont la résilience des données est insuffisante devrait être de dresser un tableau clair de son profil de données, à savoir les données qu’elle possède, sur quels emplacements elles sont stockées et leur degré d’importance. Grâce à cela, elles seront en mesure de réduire une partie de la prolifération de leurs données en filtrant toutes les données obsolètes, redondantes ou insignifiantes pour se concentrer sur la sécurisation des données dont elles ont réellement besoin.
Mais le travail ne s’arrête pas là : après avoir mis en place de nouvelles mesures de résilience des données, il est temps de les tester, et ce à plusieurs reprises, de manière complète et cohérente afin de repousser leurs limites, comme lors d’une véritable attaque après tout, les cyberattaquants ne s’arrêteront pas sous prétexte qu’un système commence à montrer des faiblesses et ne lanceront pas forcément leur attaque au moment
le plus « opportun ».
Le fait de s’entraîner dans des conditions éprouvantes, par exemple lorsque des parties prenantes clés sont en congés annuels ou que les équipes de sécurité sont accaparées par un autre sujet, peut ainsi permettre aux entreprises d’exposer toutes les failles et les lacunes potentielles présentes dans leurs mesures. Cela peut paraître excessif, mais c’est aussi un moyen de s’assurer de ne pas découvrir ces vulnérabilités pour la première fois au cours ou à la suite d’une attaque réelle.
Si le travail à abattre pour disposer d’une solide résilience des données peut paraître considérable, le temps et l’énergie déployés porteront largement leurs fruits. Selon le rapport précédemment cité, les entreprises dotées de capacités avancées de résilience des données enregistrent une croissance annuelle de leur chiffre d’affaires supérieure de 10 % à celle des entreprises encore à la traîne.
Pour autant, cela ne veut pas dire que l’amélioration de la résilience des données augmentera ces chiffres comme par magie ! En revanche, renforcer ses standards en termes de résilience des données entraînera inévitablement des conséquences directes sur l’ensemble des processus. Au fil du temps, les cybermenaces gagneront forcément en complexité et l’empreinte des données ne se réduira pas de sitôt. C’est un problème auquel toutes les organisations devront faire face ; il est donc important de se jeter à l’eau dès maintenant avant de se retrouver subitement aux prises avec une cyberattaque désarmante.
Par Dave Russell, Senior Vice President, Head of Strategy chez Veeam
