Article co-écrit avec Sara Molini et Lucia Cantegrit, consultantes ERS Cyber Risk.

La continuité d’activité permet d’assurer la résilience des entreprises en cas de sinistres majeurs. En se dotant de plans de continuité d’activité (PCA), les entreprises sont préparées à faire face à ces sinistres et assurer leur survie. Ces plans de continuité prennent aujourd’hui assez peu en compte la gestion de crises cyber et interviennent surtout sur des scénarios d’indisponibilité des ressources humaines, logistiques et matérielles. Pourtant, souvent longues, globales et difficiles à appréhender, les crises cyber peuvent mettre en péril toute l’organisation. Se préparer à y faire face est donc une nécessité croissante et les entreprises doivent impérativement repenser leurs plans de continuité d’activité pour y intégrer les enjeux cyber. Les métiers vont devoir apprendre à gérer des solutions palliatives répondant non plus seulement à des problèmes d’indisponibilité des ressources mais aussi à des problèmes d’image, de confidentialité et d’intégrité nécessitant le recours à de nouveaux schémas de réponse.

Aujourd’hui, le PSI[1] apporte des solutions sur le plan IT, mais n’est plus suffisant face à certaines situations : s’il permet de mettre en place des solutions de contournements dans certains cas (i.e. attaques DDOS, ransomware, attaque massive de postes de travail), il ne permettra pas par exemple de pallier à une corruption massive des données. Il faut donc repenser le PSI et prévoir notamment un troisième jeu de sauvegarde (THS) spécifiquement produit pour répondre à ce type de menace. Cette solution nécessite d’avoir en amont analysé les points vitaux de l’entreprise et procédé à une classification des données et des métadonnées.

Plus généralement, face à une attaque cyber, les réponses apportées ne peuvent plus se limiter au seul périmètre IT et technique. En effet la surface d’attaque et la sinistralité associée s’étendent aujourd’hui à l’organisation entière, avec des conséquences sur les métiers qui peuvent se révéler tout aussi importantes. Les politiques de sécurité définies en réponse à ces attaques doivent donc tenir compte des aspects IT mais aussi des problématiques métiers impliquées. C’est pourquoi une parfaite collaboration entre le RPCA et le RSSI ou RPSI est indispensable. Le RSSI devra voir au-delà de la faille technique et de l’aspect sécurité pour prendre en compte les enjeux métiers de certaines des décisions qu’il pourra prendre. La stratégie du RPCA devra quant à elle systématiquement reposer sur les connaissances du RSSI et de ses équipes pour concilier procédures de continuité métier et sécurité.

Les enjeux cyber une fois pris en compte, il sera important de tester le PCA et de le maintenir en conditions opérationnelles. Organiser des exercices en prenant en compte des scénarios d’attaques cyber – et ce à tous les niveaux, aussi bien techniques que décisionnels – permettra de préparer l’ensemble des acteurs mais aussi d’apporter des modifications au PCA si nécessaire. De nouveaux acteurs, spécialisés dans les comportements individuels et collectifs, pourront aider les collaborateurs à mieux gérer les situations de stress induites par de telles attaques (i.e demande de rançon, médiatisation brutale et massive). Grâce à cette préparation, la cellule décisionnelle aura quant à elle toutes les cartes en main pour pouvoir prendre les meilleures décisions en cas de crise cyber.

Intégrer les scénarios cyber dans les plans de continuité d’activité permettra de répondre à une partie des crises cyber sous réserve que ce type d’évènement soit bien anticipé. Cependant, à la différence des scénarios habituels traités dans les PCA, ces crises cyber se distinguent par leur sophistication, vont souvent être difficiles à cerner et demanderont beaucoup d’investigations. Dès lors, il est primordial que le PCA prévoie le retour à la normale suite à un incident majeur. Ce retour à la normale, encore trop peu anticipé par les entreprises, constituera un point critique de la cyber-résilience et nécessitera à son tour de mobiliser l’ensemble des métiers aussi bien IT, que juridiques, financiers, commerciaux etc.

L’ensemble de ces actions devront s’articuler autour d’un dispositif de gestion de crise optimisant le pilotage de tous ces acteurs et de leurs enjeux, facilitant les échanges internes, établissant la communication externe et par-dessus tout, offrant un cadre décisionnel hors nome permettant de gérer tout ce qui reste de l’ordre de l’imprévisible.

Pour en savoir plus sur le sujet, n’hésitez pas à me contacter. Retrouvez-nous également au CISO LAB du 15 novembre 2016 : Quelle continuité d’activité par rapport à la cybersécurité ? Quels moyens opérationnels pour couvrir ce risque ?

 

[1]PSI : Plan de Secours Informatique ou Plan de Reprise d’Activité (PRA)