La cyber-résilience : Quels enjeux pour les DSI ?
Au-delà de la Cybersécurité, les DSI face aux défis de la Cyber-Résilience
Alimentée par de nombreux spécialistes, une certaine confusion règne dans le domaine de la sécurité informatique. Sur Internet, la plupart des ressources accessibles lors d’une recherche sur la cyber-résilience traitent en fait de la cybersécurité. Ces deux concepts, étroitement liés, sont en réalité subordonnés : la résilience d’un système d’information s’établit sur un périmètre bien plus large que la seule protection contre les cybermenaces des hackers. Pour lever toute ambiguïté, Ib Cegos vous propose une clarification dans ce dossier consacré à la cyber-résilience et ses enjeux pour les DSI.
- Cyber-résilience, définition et conséquences d’une sous-estimation des risques
- Des cybermenaces, toujours plus nombreuses, qui planent sur les systèmes d’information
- Face aux dangers du numérique, l’importance d’une gestion concertée du risque
- Prévenir pour protéger : l’anticipation des risques au cœur de la stratégie des DSI
Cyber-résilience, définition et conséquences d’une sous-estimation des risques
Le 29 août 2023, 14 centres du groupe automobile Toyota stoppent leur production au Japon[i]. Un mois plus tard, cinq usines de son concurrent allemand Volkswagen subissent le même sort[ii]. Le 15 mars 2024, de nombreux restaurants McDonald's doivent fermer pendant plusieurs heures, partout dans le monde[iii]. Outre le coût vertigineux de ces ruptures d’activité, quel était leur point commun ? DDOS, phishing, malware ? Rien de tout cela : uniquement des pannes informatiques. Ces grandes firmes confondaient-elles la sécurité et la résilience ? L’ANSSI (agence nationale de la sécurité des systèmes d'information) définit précisément la cyber-résilience en tant que : « (…) capacité à fonctionner lors d’un incident et à revenir à l’état nominal par la suite. C’est l’aptitude à prévoir et limiter, en amont et au mieux, les impacts d’un accident sur l’état d’un système »[iv]. La notion d’accident concerne effectivement la criminalité organisée, mais les services informatiques sont exposés à d’autres dangers.
Des cybermenaces, toujours plus nombreuses, qui planent sur les systèmes d’information
À tout seigneur, débutons la liste des périls non intentionnels par le risque sanitaire. La crise Covid-19 a plongé toutes les entreprises dans l’obligation de mettre en place le télétravail. Combien y étaient prêtes ? Aujourd’hui, le travail à distance est entré dans les mœurs, multipliant d’autant les facteurs de risques sur les systèmes d’information. L’usage du Cloud se généralise, mais la virtualisation hybride n’élimine pas définitivement les conséquences d’une panne matérielle, surtout si elle concerne le réseau. La mondialisation liée au cloud computing peut entraîner les multinationales vers une grande sensibilité aux tensions géopolitiques et aux conflits militaires, parfois si proches. La non-conformité aux obligations légales, dont celles du RGPD, peut valoir aux entreprises de lourdes sanctions, administratives et financières. Les aléas climatiques augmentent leur fréquence avec le réchauffement planétaire. Pour terminer cette liste noire, l’erreur humaine et la malveillance interne restent les ennemis de toute organisation, sans exception.
Face aux dangers du numérique, l’importance d’une gestion concertée du risque
Pour toutes ces raisons, une DSI responsable doit mettre en œuvre une solide gestion des risques informatiques, associée à une politique de sécurité globale. L’intégralité des services étant numérisée, toutes les directions doivent s’impliquer dans les étapes de son élaboration :
- identifier les points faibles du système d’information ;
- évaluer les vulnérabilités en fonction de leur probabilité, fréquence et impact sur l’exploitation ;
- classer les risques par criticité ;
- appliquer les protections adaptées ;
- éprouver ces solutions tout en veillant sur l’apparition de nouvelles fragilités.
Pour la validation des dispositions, l’aspect budgétaire contraint les entreprises à des arbitrages. Ainsi, une vulnérabilité peut être éliminée par son transfert à un tiers, voire par la suppression totale de l’activité concernée. Les menaces à probabilité ou impact réduits pourront être acceptées, jusqu’à ce qu’une revue périodique de gestion des risques rehausse leur notation.
Prévenir pour protéger : l’anticipation des risques au cœur de la stratégie des DSI
Les exemples ci-dessus illustrent les nombreux défis de la cyber-résilience. Il s’agit avant tout de limiter les pertes financières, d’image et de confiance que subit une entité lors d’un incident majeur. Tout système d’information, si efficient soit-il, possède des points critiques susceptibles de le dégrader. L’anticipation des difficultés permet aux entreprises d’augmenter leurs chances de réussite en cas d’obstacle infranchissable pour d’autres. C’est un atout concurrentiel évident lorsque les périls se multiplient. Une politique de sécurité globale incluant une gestion des risques intangible instaure un climat de confiance salutaire auprès des clients, des fournisseurs et des partenaires d’une entreprise. Au centre des préoccupations, les DSI sont les moteurs de l’amélioration des processus, incitant l’ensemble des services à rechercher les compromis de protection et de continuité opérationnelle. Les entreprises assurant la meilleure sécurisation de leur activité et de leurs données peuvent se voir attribuer le certificat decyber-résilience ANSSI, gage de leur résistance aux cybermenaces de toutes sortes.
Trop souvent, les enjeux de la cyber-résilience se révèlent après un premier accident, s’il n’est pas fatal. Pourtant, les atouts d’une gestion de risques performante sont essentiels dans un environnement en perpétuelle mutation. Les dangers évoluent et rendent indispensable une surveillance continue, au-delà de la seule cybersécurité. Pour cela, ib Cegos propose des programmes d’enseignement actualisés, destinés à accompagner les DSI dans l’analyse de leurs vulnérabilités. La formation État de l'art de la sécurité des Systèmes d'Information vous prépare à affronter l’émergence de nouvelles menaces qui pèsent sur la stabilité opérationnelle des activités numériques.
[i] : https://www.latribune.fr/entreprises-finance/industrie/automobile/une-panne-informatique-geante-oblige-toyota-a-mettre-a-l-arret-la-quasi-totalite-de-ses-usines-japonaises-974125.html
[ii] : https://www.solutions-numeriques.com/reprise-de-la-production-chez-volkswagen-apres-une-panne-informatique-majeure/
[iii] : https://www.ouest-france.fr/economie/consommation/mc-donalds/chine-japon-france-une-panne-mondiale-provoque-la-fermeture-de-plusieurs-restaurants-mcdonalds-f18cfc96-e2ca-11ee-b685-1479f5265e87
[iv] : https://cyber.gouv.fr/observatoire-de-la-resilience-de-linternet-francais