Se préparer face à la cyber menace, garantir la continuité du business

Pour qu’une crise soit appréhendée de manière optimale, il faut s’y préparer, mettre en place les procédures adéquates, avec une approche pragmatique par les risques.

Christophe Bianco, co-fondateur d’Excellium

Largement médiatisées, plusieurs attaques cybercriminelles récentes ont révélé, une fois encore, le manque de préparation de la plupart des acteurs impliqués. Pour qu’une crise soit appréhendée de manière optimale, il faut s’y préparer, mettre en place les procédures adéquates, avec une approche pragmatique par les risques.-Article paru dans l’ITnation Mag Hiver 2017 

Les attaques d’envergure et largement médiatisées ont pour effet de mettre en avant le manque de préparation des organisations face à la menace cybercriminelle. Et d’exaspérer les professionnels de la cybersécurité qui, chaque fois qu’une menace surgit, sont appelés en pompiers parfois parce que l’un ou l’autre acteur n’a pas pris le soin de se préparer correctement. « Dès qu’une attaque survient, les gens sont paniqués, commente Christophe Bianco, co-fondateur d’Excellium, prestataire spécialisé dans le domaine de la cybersécurité, qui accompagne aujourd’hui divers acteurs majeurs européens dans l’amélioration de leur protection. Sitôt que les médias relaient une information, une réunion de crise est convoquée. On a vu des structures stopper net leur IT et leur activité, le temps que chacun se demande si oui ou non l’entreprise est concernée par les risques évoqués. Parfois inutilement, parce que cela ne se justifiait pas. D’autres fois à raison, sans que les équipes ne soient pour autant capables de prendre la mesure du problème. »

Se préparer à toute éventualité

Personne n’est aujourd’hui à l’abri de la menace cybercriminelle. Et pour ceux qui seraient encore tentés de le croire, le cas de plusieurs victimes d’attaques récentes – Equifax, Renault ou encore Saint-Gobain – doit leur faire prendre conscience que leur entreprise pourrait à son tour être tout prochainement la cible de cybercriminels. « On sait que cela va arriver. Qu’un jour ou l’autre, toute entreprise, y compris la nôtre, qui est spécialisée dans le domaine, se retrouvera sous le feu d’une intrusion. Cela arrive tout le temps. Rien qu’au Luxembourg, nous intervenons personnellement dans des entreprises victimes toute les semaines. Celui qui affirme aujourd’hui ne pas être la cible d’attaques n’est tout simplement pas en mesure de les détecter, poursuit Christophe Bianco. Une fois que l’on a conscience de cela, plutôt que d’attendre de se retrouver en situation de crise, au cœur de laquelle personne ne sait comment réagir, l’enjeu est de se préparer, afin de garantir la remise rapide sur pied et la continuité de l’activité. »

La société Excellium, pourtant experte du domaine, après avoir mis en place les procédures indispensables de protection, a elle-même souscrit à une assurance en cybersécurité, la couvrant en cas de faille ultime et lui garantissant de disposer des ressources financières indispensables à la relance de l’activité.

La préparation au service de la gestion de crise

Une crise liée à la cybersécurité, cela se prépare, cela se gère comme tout incident. Et pour cela, il faut pouvoir se demander, selon les éventualités, comment il est possible de revenir rapidement à une situation normale. « Or, lorsque nous arrivons chez la plupart de nos clients, malgré des messages répétés incessamment, on constate que les procédures sont rarement établies. Il n’y a pas de structure de communication prête. Rien n’est organisé pour traiter tout éventuel incident. Dans la plupart des cas, le Disaster Recovery Plan ou le Business Continuity Plan ne tient même pas compte d’un éventuel incident cyber. Les ressources en cybersécurité ne sont pas entretenues. Les couches techniques ne sont pas préparées, poursuit le directeur d’Excellium. Une crise ne peut être correctement comprise et gérée dans ces conditions. »

Une approche orientée « risques » et « résilience »

Longtemps, la cybersécurité a été considérée comme un enjeu technique. Cette ère est semble- t-il révolue. Bien sûr, la technique est essentielle pour assurer une meilleure protection des organisations. « Mais la cybersécurité ne peut être appréhendée que si on la considère une approche par les risques. Si je prends en compte le fait que je peux être victime d’une attaque à chaque instant, quelles dispositions est-ce que je prends ? Voilà la question qui doit être posée au sein de chaque structure. Il faut établir quels sont les risques effectifs pour l’activité, sa réputation, ses données, ses finances. A partir de là, on peut prendre les mesures adaptées pour protéger ce qui doit l’être le plus. Au-delà de la protection, en cas de crise, l’approche risque permet de mieux coordonner la réponse. Qui communique et comment ? Qui intervient pour investiguer, afin de s’assurer de bien cerner l’ampleur du problème ? Comment l’incident est-il traité ? Enfin, il faut organiser la remédiation. »

Ne pas se contenter de répondre aux exigences

Aux yeux de Christophe Bianco, si tout est bien préparé, on peut éviter bien des crises et limiter les conséquences désastreuses. Une communication mal coordonnée d’une organisation qui fait face à une fuite de données, peut contribuer durablement à dégrader son image. Saint-Gobain comme Renault, a fait les frais d’un arrêt de leur activité. Conséquence : une perte de plusieurs dizaines de millions d’euros sur le résultat. « Aujourd’hui, la résilience doit orienter les mesures à prendre. Les nouvelles réglementations et standards comme NIS, GDPR, imposent aux organisations de prendre des mesures, mais si elles ne répondent pas à une approche par les risques pragmatiques et structurées pour effectivement protéger le business et pas uniquement répondre à un besoin de conformité, la préparation des acteurs risque de ne pas être suffisante. » En d’autres mots, et encore une fois, la menace, parce qu’elle est bien réelle, doit être effectivement considérée avec le plus grand sérieux. Une attaque peut réduire à néant la confiance des utilisateurs, entrainer de lourdes pertes financières et mettre à mal une image de marque que l’on a mis de longues années à construire. Dans beaucoup de cas, la survie d’un business peut en dépendre.