Ces dernières semaines, le besoin de ” résilience “, lié à la cybersécurité, s’est fait ressentir plus fortement que jamais. Dans l’écosystème d’aujourd’hui où le numérique prime, nous partons trop facilement du principe que les entreprises sont en mesure de fonctionner 24 heures sur 24, 7 jours sur 7. Or, pendant la pandémie du COVID, les entreprises ont éprouvé tant de mal à passer à une méthode de travail numérique, externe et sûre à la fois, qu’il s’est avéré que cette transition était tout sauf évidente.
Les cyberattaques ont régulièrement fait la une des journaux au cours des derniers mois. Elles ont eu un impact significatif sur la réputation et les revenus des entreprises. Au lieu de nous concentrer uniquement sur la prévention de ces attaques – qui tôt ou tard sont inévitables pour toute entreprise – nous devrions nous concentrer sur une reprise après sinistre (Disaster Recovery/DR) rapide et efficace et sur la résilience de l’entreprise en général.
Une ” stratégie cloud ” hybride ne suffit pas
Les DSI consacrent beaucoup de temps et d’argent à développer des stratégies cloud. La complexité des environnements cloud d’aujourd’hui ne permet pas en réalité d’intégrer la résilience au stade de la conception-même. C’est aujourd’hui le talon d’Achille de toute stratégie de cloud hybride. Il ne suffit plus d’avoir un service de DR qui indique que quelque chose ne va pas. Il s’agit de savoir comment tous les composants d’un système s’emboîtent et comment le principe de la continuité des activités opère comme un fil conducteur.
Auparavant, il était plus simple d’intégrer la résilience dans nos systèmes. Tout comme les cyberattaques, les crises inattendues à grande échelle engendrent désormais des risques de manque de résilience, La meilleure approche consiste donc en une approche holistique, plutôt que de compter uniquement sur le DR. Cette approche holistique est précisément la raison pour laquelle il est essentiel, sans plus attendre, de disposer d’une stratégie de résilience, avec une compréhension claire de ” l’organisation minimum viable “.
Le tout est plus que la somme de ses parties…
Minimum viable ?
Que se passe-t-il quand les clients ne peuvent plus passer de commande ? Quand les médecins n’ont plus accès aux dossiers médicaux ? Ou que les banques n’ont-elles plus accès à l’argent ? L’architecture d’entreprise actuelle ne pense pas en termes de ces types d’applications concrètes, mais se base sur une vision isolée du réseau, du centre de données, de la sécurité, des opérations cloud…
Sécuriser un seul de ces éléments n’a aucun sens si le reste de la chaîne reste vulnérable. C’est le principe même de l’organisation minimalement viable. Quel est le strict minimum dont les entreprises doivent disposer pour continuer à fonctionner et à offrir leurs services ?
Alors que les employés et les entreprises dépendent de plus en plus des architectures cloud, nous devons en toutes circonstances nous rappeler la multitude de composants qui forment un réseau informatique. En continuant à s’appuyer sur des systèmes en silos, une entreprise restera tout aussi vulnérable aux attaques, et affaiblira a fortiori sa résilience. Il est maintenant temps d’évaluer comment vos systèmes informatiques fonctionnent ensemble, à quoi ressemble votre fonctionnement organisationnel minimalement viable, et de prendre des mesures pour sécuriser ces éléments.
Auteur:Mohamed Hezzab, Security & Resiliency Practice Leader BeLux
