Johan Klein, Meritis : Les dirigeants doivent intégrer la cyber-résilience dans leur stratégie globale
septembre 2024 par Marc Jacob
Les JO de Paris 2024, un événement d’envergure mondiale, qui représentent une opportunité majeure pour les entreprises mais dans le même temps un défi significatif en matière de cybersécurité. Au fur et à mesure que l’attention du monde entier se tourne vers la France, les cyberattaques et les risques associés forcément augmentent. La cyber-résilience devient alors une priorité absolue pour les dirigeants d’entreprises de toutes tailles et secteurs. Dans ce contexte, Johan Klein, Responsable du Practice Cybersécurité chez Meritis estime que les dirigeants doivent intégrer la cyber-résilience dans leur stratégie globale.
Global Security Mag : Que signifie-t-il exactement le terme de Cyber-résilience ?
Johan Klein : La Cyber-résilience un terme en vogue et sur toutes les lèvres des dirigeants d’entreprise, qu’ils soient à la tête de PME-ETI du secteur privé ou de collectivités territoriales. Enlevons déjà une idée reçue : La cybersécurité et la cyber-résilience sont complémentaires, et non deux sujets distincts ou à opposer. La première vise à prévenir les cyber-attaques, la seconde assure la continuité des activités malgré les incidents, permettant ainsi une protection complète et durable du SI (Système d’information) de l’entreprise. Les deux ensembles donc forment une stratégie robuste pour anticiper et gérer les risques numériques.
La cyber-résilience va au-delà de la simple cybersécurité. Elle inclut la capacité d’une organisation à :
Anticiper,
Résister,
Remonter son SI et le faire évoluer en cas de d’incident comme une cyber-attaque
C’est en somme la capacité à continuer de fonctionner malgré les attaques. Minimiser les impacts pour revenir à une situation normale rapidement.
Imaginez qu’une cyberattaque ait visé les systèmes informatiques responsables de la gestion des résultats des compétitions, ou encore de la diffusion des données en temps réel. Une telle attaque pourrait gravement perturber le déroulement des épreuves et la diffusion des résultats.
Cela entraînerait à coup sûr une confusion massive parmi les athlètes, les spectateurs et relayée par les médias.
Un tel scénario n’est pas improbable étant donné le nombre élevé d’attaques attendues pendant les Jeux Olympiques. En 2021, les Jeux de Tokyo ont enregistré environ 4,4 milliards de tentatives d’attaques, et ce nombre devrait augmenter de manière significative pour Paris 2024.
Global Security Mag : Quels sont les risques acceptables ou critiques pour l’activité ?
Johan Klein : Il faut tout d’abord : comprendre le risque. Les risques varient selon la nature de l’activité. Par exemple, pour un site e-commerce, être hors ligne pendant quelques jours peut entraîner des pertes de revenus importante, une image dégradée, ou encore une perte de confiance des clients. Pour une usine, un arrêt du système de production pourrait être critique.
Un site web hors service, la perte d’un fichier clients, un arrêt de la production sont des exemples de risque à prendre en considération pour alimenter sa réflexion de mise en place d’un plan de Cyber-résilience.
Un des moyens de définir ce risque peut être de définir des seuils d’acceptabilité des conséquences du risque :
Imaginons une entreprise fournissant des services essentiels pendant les Jeux Olympiques comme la gestion des systèmes de billetterie. Cette PME pourrait tolérer une perte de chiffre d’affaires jusqu’à un certain pourcentage de son CA mensuel en cas d’incident lié à une cyberattaque.
Cependant, cette tolérance variera considérablement en fonction de sa taille, de sa trésorerie et de la criticité de ses services pour l’événement. Par exemple, une interruption prolongée de ces services pourrait entraîner des pertes financières significatives et nuire à sa réputation, affectant potentiellement sa capacité à remporter d’autres contrats.
Pour les services publiques responsables des infrastructures locales utilisées pendant les Jeux, comme les transports, l’acheminement du public ou encore les services d’urgence médicales, toute interruption prolongée pourrait avoir un impact dévastateur.
Une panne de plusieurs heures ou retards importants accumulés pourraient ensemble perturber gravement l’organisation des événements voire la sécurité publique.
Une bonne pratique consiste à identifier les processus critiques et à définir des objectifs de temps de reprise (RTO) et des objectifs de point de récupération (RPO). Le RTO (Recovery Time Objective) : c’est le temps maximum acceptable pour rétablir les services après une panne pour revenir à une situation où le service est de nouveau disponible. Le RPO (Recovery Point Objective) : c’est le point dans le temps auquel les données doivent être restaurées. Le point stable contenant les données ou se service dans son état de restauration souhaité. Il va déterminer la quantité de données que l’entreprise peut se permettre de perdre ou non.
Global Security Mag : Dans le moment de l’attaque, comment continuer son activité ?
Johan Klein : Face à une cyber-attaque, plusieurs mesures transitoires peuvent être mises en place pour garantir la continuité de l’activité :
En cyber-résilience, un PCA (Plan de Continuité des Activités) est un plan qui permet à une entreprise de continuer à fonctionner normalement ou de manière dégradée mais acceptable pour le business, même en cas de gros problèmes informatiques.
Avoir mis en place une solution de Sauvegarde et de Récupération : Assurer des sauvegardes régulières et tester régulièrement les plans de récupération.
Communication Interne et Externe : Informer rapidement les parties prenantes pour gérer les attentes et maintenir la confiance.
Assurer une Remise en Route Normale Post-Crise : La reprise normale des activités nécessite un plan de reprise d’activité (PRA) détaillé incluant plusieurs étapes majeures :
Évaluer les dommages : Identifier les systèmes touchés et l’étendue des dégâts.
Restaurer le SI : Prioriser la remise en service des systèmes critiques, puis moins critiques ..
Révision et Amélioration : Analyser l’incident initial post crash pour en tirer des leçons et améliorer les mesures de cyber-résilience.
Global Security Mag : Un Mot de fin ?
Johan Klein : En conclusion, la cyber-résilience est un point essentiel : elle nécessite une préparation rigoureuse, une bonne compréhension des risques et la mise en place de plans de continuité robustes.
Les dirigeants doivent intégrer la cyber-résilience dans leur stratégie globale pour garantir la pérennité de leur activité en toutes circonstances.