Le concept de cyberrésilience est né dans la douleur, après l’apparition du très nocif vers Stuxnet et d’attaque dévastatrice et très médiatisée telle que celle ayant frappé Sony Pictures, la filiale de production de films du géant japonais. La sophistication et la multiplication des attaques post pandémiques n’ont fait que renforcer cette approche.
La cyberrésilience marque une évolution radicale de l’idée que se faisaient les entreprises de la sécurité informatique. Elle implique un vaste cadre de gouvernance et de leadership qui couvre les différentes facettes d’une organisation, y compris la cybersécurité, les opérations commerciales et les processus opérationnels. En élargissant leurs approches traditionnelles de la cybersécurité, qui se concentraient principalement sur la prévention, les entreprises ont entériné le fait que leur démarche de l’époque n’était pas suffisante pour protéger les organisations contre les cyberattaques de plus en plus pernicieuses.
Ne rien laisser au hasard
La cyberrésilience est désormais considérée comme un élément essentiel de la cybersécurité des organisations de toutes tailles. Elle consiste en une stratégie globale pour ne rien laisser au hasard et déployer une protection la plus complète possible. L’évaluation et l’atténuation des risques permettent d’identifier et d’évaluer les risques afin de mettre en œuvre des mesures d’atténuation appropriées pour réduire ces risques. La gestion des vulnérabilités apporte l’analyse régulière des systèmes pour détecter les vulnérabilités et les corriger avant toute exploitation.Dans la partie réponse aux incidents, les organisations doivent disposer d’un plan de réponse aux cyberattaques, comprenant des étapes pour contenir l’attaque, identifier la source et se remettre de l’incident. Le plan de continuité des activités leur permet ensuite de poursuivre leurs activités en cas de cyberattaque, même si certains systèmes sont indisponibles. Enfin, le volet sensibilisation et formation des employés permet d’aguerrir ceux-ci pour reconnaître et signaler les menaces en matière de cybersécurité.
Une prise de conscience au niveau du conseil d’administration
Dans une étude récente d’IDC, les membres du conseil d’administration ont été jugés plus impactants que les « impératifs réglementaires » pour expliquer l’importance accordée par une organisation à la cyberrésilience. De ce point de vue, « il est encourageant de constater que la prise de conscience au niveau du conseil d’administration contribue à améliorer les positions des organisations en matière de cyberrésilience », affirme le rapport.« Cette prise de conscience est un véritable exploit pour la plupart des organisations, après des années passées à élaborer des analyses de rentabilité de la cybersécurité pour les budgets », ajoute-t-il ; la haute direction reconnaît enfin l’importance de ce pilier numérique clé. Cependant, l’analyse des données révèle qu’il est difficile de mettre en œuvre des stratégies de cyberrésilience : seuls 40 % des organisations interrogées sont sûres de pouvoir se remettre d’une cyberattaque sans perturbation majeure. Avec l’adhésion des dirigeants et le suivi de la cyberrésilience par les membres du conseil d’administration, IDC s’attend à ce que les organisations soient plus matures et plus confiantes dans leurs investissements et leurs pratiques cybernétiques.