Ne dites plus ‘continuité ‘, dites résilience. Face à la multiplication des cyberattaques et des risques liés à l’instabilité de l’environnement opérationnel, le département IT se doit d’adopter une stratégie proactive plutôt que réactive.
« Il existe deux types d’organisations », estimait Eric Van Cangh, Senior Business Group Leader chez Agoria lors du récent séminaire TechXperience organisé par WIN et le NRB Group. « Celles qui ont été compromises et celles qui l’ignorent encore. » Un constat corroboré par les chiffres puisque le VLIAO (l’agence flamande pour l’innovation et l’entreprise) estimait dans son Baromètre sur la Cybersécurité 2024 qu’une entreprise flamande sur 2 avait été victime d’une cyberattaque et que dans 1 cas sur 10, cette cyberattaque avait causé des dommages, ceci alors que 71% des entreprises considéraient pourtant avoir pris les mesures nécessaires.
Chronologie d’un piratage
Durant ce même séminaire, Lorenzo Bernardi, CISO de NRB, est revenu sur la chronologie d’une cyberattaque et son impact sur l’informatique et l’ensemble de l’organisation. « La résilience nécessite une vue métier plutôt que seulement technique », a-t-il insisté d’emblée. Et de prendre l’exemple d’une panne informatique, éventuellement consécutive à une cyberattaque, qui intervient au plus mauvais moment (le vendredi après-midi…). Du coup, le point de contact unique peut se trouver injoignable alors que le réseau informatique est paralysé. Or il faut au plus vite restaurer les systèmes IT. « Sans aller trop vite », insiste Lorenzo Bernardi, « au risque de détruire les preuves susceptibles d’identifier les auteurs, les causes, etc. » Un peu comme sur une scène de crime…
D’où la nécessite de mettre en place les bonnes procédures, tant de restauration IT que de communication. Des procédures qui passent par des sauvegardes. Or celles-ci pourraient avoir été corrompues par les pirates. Pour y remédier, il importe de créer des copies immuables des systèmes, copies qui seront stockées à l’extérieur de l’entreprise. « Et il ne faudra pas oublier d’avoir testé ces sauvegardes », note encore le CISO de NRB. Et si la restauration passe par le paiement d’une rançon, est-il prévu de la verser ? Et quid si la rançon doit être payées en bitcoins (en général, l’entreprise n’a pas de compte de cryptomonnaie).
Et après ?
Admettons à présent que les sauvegardes aient été récupérées. Sait-on quels serveurs et/ou quelles applications sont critiques et doivent être restaurées en priorité ? Et sur quelle infrastructure les installer ? En l’occurrence, Lorenzo Bernardi plaide pour une ‘infrastructure-as-code’ qui permettra de redéployer plus facilement les plateformes et les applicatifs, en commençant par les services prioritaires (à définir au préalable). « D’où l’importance de privilégier une approche métier : partir du business puis y associer l’infrastructure adéquate, voilà la vraie résilience », estime encore notre CISO.
Par ailleurs, Lorenzo Bernardi insiste sur le reporting légal, dans le cadre des réglementations RGPD ou NIS-2 notamment (qui le fait ? dans quel format ? etc.). De même, il souligne que toute crise induit une dimension émotionnelle, ce qui nécessite de disposer de plans formalisés. « Les données sont l’actif le plus important d’une organisation et sont par définition propres à chaque entreprise. D’où l’importance d’un plan de résilience impliquant toutes les parties prenantes, et pas seulement l’informatique.
Enfin, il conviendra une fois la crise résolue, de réfléchir à l’après, d’analyser ce qui s’est passé, de le documenter, de mettre à jour les plans de résilience et éventuellement de partager son expérience avec ses pairs. « Il importe de privilégier la transparence, voire d’être proactif face à une telle crise », conclut-il.