De la cyber-sécurité à la cyber-résilience

par | Mar 6, 2018 | Cyber Security, Latest News | 0 commentaires

Gérer les risques plutôt que penser pouvoir les éliminer. Dans le cyberespace, il s'agit désormais de voir par-delà les principes de protection. Le point de vue de Yves Reding, CEO, EBRC.

Gérer les risques plutôt que penser pouvoir les éliminer. Dans le cyberespace, il s’agit désormais de voir par-delà les principes de protection. Le point de vue de Yves Reding, CEO, EBRC.

° Vous conseillez aux organisations de reconsidérer leur approche de la sécurité en l’envisageant sous l’angle de la cyber-résilience. Pourquoi ?

Yves Reding : Dans un environnement où les attaques informatiques sont de plus en plus nombreuses et sophistiquées, les stratégies de sécurité traditionnelles sont moins efficaces. Désormais, la question n’est plus de savoir «si» une entreprise sera attaquée, mais «quand» cette attaque surviendra. 2017 a montré qu’aucune organisation n’est à l’abri. Face à ce nouveau contexte, les organisations doivent adopter une approche de la sécurité et de la continuité des activités basée sur la gestion et la mitigation du risque, et non sur son élimination. En somme, passer de la cyber-sécurité à la cyber-résilience.

° La notion de résilience a d’emblée caractérisé les activités d’EBRC, spécialiste de la gestion des informations sensibles. Mais le principe de résilience a-t-il évolué ?

Fondamentalement, la résilience est la capacité d’un corps ou d’un système de retrouver ses propriétés initiales après une altération. Rapportée à la cyber-sécurité, la résilience – nous parlons aujourd’hui de « cyber-résilience » – va au-delà des concepts de défense et de prévention pour mettre l’accent sur la politique de sécurité et de continuité des opérations, la culture et la prévention des risques, les stress tests, mais aussi la gestion de crise, la réponse et la capacité de l’organisation à réduire et absorber l’impact et se redresser dans les moments de crise.

L’objectif de la cyber-résilience est de pouvoir opérer le business et de réaliser ses objectifs malgré des scénarii négatifs, tels que des accidents ou des malveillances, sans perturbation. Il s’agit donc d’évaluer et de prévenir le risque pour limiter l’impact d’un incident, de détecter rapidement la menace, de permettre un fonctionnement des applications essentielles, de préserver les données et enfin de prévoir une reprise rapide de l’activité. Ce qui veut dire aussi que la cyber-résilience n’est pas uniquement une problématique de la direction informatique, mais qu’elle concerne bien l’organisation entière…

° Faut-il en déduire que la cyber-résilience sort du cadre technologique ?

Parfaitement. Aujourd’hui, elle est une composante de la résilience économique : elle mesure la résilience d’une organisation confrontée à une cyber-menace au cours de trois phases d’action : l’anticipation, la résistance et la réaction. Elle constitue une approche holistique qui intègre cyber-sécurité, business continuity management, stratégie de réponse, gestion de crise et organisation de la résilience.

C’est pourquoi la cyber-résilience est multidimensionnelle, elle concerne l’organisation dans sa globalité. Un réel partenariat entre les fonctions de gestion des risques, de la sécurité et de la continuité, avec les dirigeants d’entreprises s’impose, visant à créer un environnement cyber-résilient, à défaut de pouvoir éliminer tout risque… Il faut éliminer les silos dans l’organisation et créer une véritable culture de la résilience, car le maillon le plus sensible est le facteur humain. L’enjeu est d’apprendre à se préparer à absorber le choc, car il y aura forcément un choc, voire une succession de chocs.

° Le cyberespace serait-il à ce point si sombre ?

Par nature, le cyberespace est incertain, instable, potentiellement hostile. Il n’est pas question pour autant de l’éviter, mais d’apprendre à s’y mouvoir. Imaginez-vous en train de descendre un torrent en kayak, imaginez les rochers à éviter, la puissance du courant. Les éléments sont là, vous ne pouvez les effacer. Il vous faut faire preuve d’agilité, de flexibilité. Etre proactif. Et donc anticiper, contourner les obstacles, accélérer quand c’est possible… C’est là que votre niveau de résilience sera mis à l’épreuve : vous contenterez-vous de survivre ou serez-vous capable de rebondir, d’avancer et de profiter de la vitesse du torrent ?

° Belle analogie avec le business !

En permanence, il faut pouvoir identifier, protéger, détecter, répondre à l’incident et récupérer les systèmes pour garantir la continuité de l’activité et rebondir. C’est l’approche suggérée par la directive européenne NIS (Security of Network and Information Systems) qui vise à sécuriser les réseaux et les systèmes d’information contre tout risque et incident au niveau des infrastructures critiques européennes et des opérateurs de services numériques, dont EBRC fait partie. Les Etats membres ont jusqu’au 9 mai 2018 pour transposer ce texte dans leur droit national.

Cette directive est importante. Les incidents de cyber-sécurité comportent très souvent un aspect transfrontalier et concernent donc plus d’un Etat membre de l’Union européenne. Une protection fragmentaire de la cyber-sécurité nous rendrait tous vulnérables. Il s’agit de proposer des mesures destinées à assurer un niveau commun de sécurité des réseaux et des systèmes d’information pour tous les Etats membres.

° Une directive ne fait pas tout ! Sur quel arsenal la cyber-résilience peut-elle se reposer ?

Diverses organisations internationales et autorités publiques sont aux avant-postes. Ainsi, les normes toujours plus poussées : ISO 27001 (gestion de la sécurité de l’information), 20000 (gestion des services informatiques), 27018 (protection des données à caractère personnel) ou 22301 (gestion de la continuité d’activité). Dans ce domaine encore, EBRC est toujours à l’avant-plan, intégrant progressivement toutes ces normes et bonnes pratiques. Nous sommes clairement dans un processus d’amélioration continue. Il s’agit de créer une véritable culture de la résilience, celle-ci doit faire partie des gènes de chacun et être intégrée dans les processus. Récemment, nous avons fait évoluer notre SOC (Security Operations Center) pour une plus grande intégration avec notre CERT (Computer Emergency Response Team), mais aussi avec d’autres CERT. EBRC dispose aujourd’hui d’une équipe intégrée de plus de 50 consultants et experts en cyber-résilience couvrant toute la chaîne de service, de bout-en-bout, de la gestion des risques à la continuité d’activité et les activités les plus pointues en cyber-sécurité. Par ailleurs, la cyber-résilience ne peut s’enrichir qu’à travers le partage d’expérience, les équipes multidisciplinaires. Si les 450 clients d’EBRC sont issus de pays ou de métiers très divers, ils font face à des risques et des menaces similaires. Pour mieux servir nos clients, il nous revient également de créer un éco-système de cyber-résilience à l’échelle européenne.

Seul, dans son pays, on ne peut y arriver. Nous devons favoriser l’émergence de mécanismes de lutte plus efficients à l’échelle du marché numérique unique. A nous, spécialistes de la gestion de l’information sensible, de montrer l’exemple. C’est ce qu’EBRC fait, à travers des alliances fortes avec différents partenaires européens, en France par exemple, mais aussi internationaux, tels OpenText – Guidance Software, un des leaders mondiaux en investigation sécurité. L’objectif est de garantir la confiance des clients et des stakeholders dans le cyberespace numérique.

Sommaire
De la cyber-sécurité à la cyber-résilience
Titre
De la cyber-sécurité à la cyber-résilience
Description
Gérer les risques plutôt que penser pouvoir les éliminer. Dans le cyberespace, il s'agit désormais de voir par-delà les principes de protection. Le point de vue de Yves Reding, CEO, EBRC.
Auteur
Editeur
Soluxions Magazine
Logo