Cyber-Resilience vs Business Resilience
Cet article se décompose en deux parties. Tout d’abord, il invite le lecteur à réfléchir sur la cyber résilience. De quoi s’agit-il ? Quelles sont ses caractéristiques, ses différences avec les cas d’indisponibilité plus classique des technologies de l’information.
La deuxième partie propose une exploration des réponses possibles au travers de l’élaboration d’un « Plan de Cyber Résilience » intégré aux autres plans du Système de Management de la Continuité d’Activité.
La question n’est plus de savoir quand vous serez impacté, mais de savoir comment vous réagirez, face à trois risques majeurs :
- Vos données sont détruites ou corrompues
- Vos activités s’arrêtent brutalement
- Il n’est plus possible de communiquer
1. Réflexions sur la Cyber-Resilience
Pour certains, la cyber résilience n’est qu’un sous volet de la continuité de l’entreprise : mais si elle en partage de nombreux aspects, elle nécessite une attention particulière car au final ce risque numérique change le paradigme et notre relation à la crise.
Cet article souhaite vous interroger sur ce que vous tenez pour sûr, et qui peut s’avérer d’une toute autre nature nécessitant au final de revoir votre plan de gestion de crise autant que celui de la continuité d’activité de votre entreprise.
Le préfixe cyber a envahi depuis une dizaine d’année le landerneau numérique mais force est de constater que c’est la démocratisation du smartphone qui l’a rendu si populaire qu’il nous interroge sur de nombreux plans :
1- sur un plan personnel, quant à l’intégrité de notre identité et la confidentialité de notre vie privée.
2- sur un plan professionnel, quant à la sécurité de notre identité et de notre vie privée (encore 😉 confié au bon vouloir de l’entreprise ; et la capacité de protection de son RSSI (principalement lié à ca capacité à convaincre sa direction pour obtenir les budgets nécessaires 😉 mais aussi quand au modèle économique de chacune de nos entreprises (savoir, savoir faire, …) si celles ci venaient à se faire attaquer.
Parmi les caractéristiques difficiles à appréhender d’une attaque cyber, on trouve :
- sa transcendance géographique : elle se situe hors des frontières informatiques que l’on perçoit, voire que l’on soupçonne ;
- son caractère épidémique : la contagion se fait par les proches ;
- son impunité relative : elle échappe (pour l’instant ?) à toute forme de protection juridique souveraine, nationale ou autre ;
- son caractère furtif : elle n’est parfois découverte que 6 mois après ses effets ;
- son caractère destructif : elle laisse parfois l’entreprise sans solution.
Force est de constater qu’elle n’est pas que centrée sur l’activité business, sectorielle, mais elle déborde de façon systémique sur tout l’écosystème interdépendant de l’entreprise.
Mais alors que faire ? N’existe-t-il pas une solution de résilience au drame ?
La cyber résilience est souvent définie comme « la capacité attendue d’une entreprise (ou d’un individu) à identifier, prévenir, détecter et répondre aux défaillances technologiques ou de process issues d’une attaque du cyber espace, et à se rétablir en réduisant au minimum les impacts négatifs pour ses clients, ses préjudices en matière de réputation et ses pertes financières. »
Vous le savez : la sécurité d’un système d’information doit être multicouche et englober les personnes, les processus et la technologie. « La résilience cyber n’est donc rien sans cyber sécurité [1]» ni stratégie de continuité !
La cyber crise n’est elle pas une simple occurrence de crise d’indisponibilité de SI ? Ou est-elle plus complexe, car plus diffuse ? Nécessite-t-elle de penser autrement : Réfléchir à un plan B, être agile à la crise, voire accepter de perdre une portion de SI au profit de l’ennemi pour protéger l’essentiel voire l’ultime (inacceptable ?)
A la différence du scénario d’indisponibilité SI habituellement traité dans les PCA, les crises cyber se distinguent par un niveau de sophistication et une surface d’attaque plus spécifiques. Elles sont plus difficiles à cerner et demandent nombre d’investigations qui ne sont parfois pas compatibles avec les exigences d’activité ou de reprise métiers :
Pour exemples :
- un SI fonctionnant peut faire l’objet d’une mesure conservatoire d’arrêt pour protection en cas de compromission partielle (fuite de données, ransomware, …).Mais qui ira négocier avec le métier ? business is business …
- la remontée des systèmes est aussi plus longue car il convient de s’assurer de l’intégrité exhaustive des services (Pour rappel : l’agent infectieux et/ou l’attaquant peuvent basculer en mode dormant rendant la reprise d’activité sensible).
- La cohérence des plaques applicatives et des données est un art compliqué qui est devenu plus complexe en mode distribué
Il est donc indispensable de réviser ses plans de secours informatique pour être cyber-résilient.
L’élaboration d’un plan de cyber-résilience (PCR) complémentaire au PCA doit donc être demandée aux entités délivrant des services informatiques avec un objectif prioritaire de protection sur les actifs sensibles (DICP) et stratégiques de l’entreprise.
Si on regarde l’écosystème des entreprises, l’envahissement des solutions sensibles au risque cyber a explosé depuis plusieurs années: le mode SAAS, les développements agiles, les véhicules autonomes, les objets connectés, les technologies disruptives avec leurs algorithmes complexes (blockchain,…), les smart-cities… Tous ces éléments nécessitent un niveau d’expertise dans leur découverte, leur compréhension et donc leur sécurisation en cas d’attaque.
« Le réseau internet n’existe plus : vous êtes internet». La multitude de solutions d’accès à l’information oblige à repenser les modèles pour que chaque portion, chaque maillon de donnée porte sa propre sécurité.
Ne serait-ce pas cela qu’il faut revoir : prendre le problème à la fois par le tout et par chacune de ses parties élémentaires ?
Si nous revenons rapidement à l’origine écologique du terme, il est intéressant de se rappeler que dans la nature la résilience[2] s’opère au travers de certaines constantes :
- la coopération, qui s’oppose à la compétition
- une dégradation de la performance car la priorité va à la redondance
- une notion de durée indissociable du moyen voire du long terme
L’histoire est jalonnée de ces partenariats improbables (Apple/Microsoft,…), de solidarité mutuelle, établies pour assurer une viabilité, une persistance de nos structures.
« C’est en protégeant le faible que l’espèce humaine a subsisté et est devenue « supérieure » aux autres car elle a dû mettre en place des stratégies de survie… », il semblerait urgent d’en faire autant en ciblant ces maillons de données si chères à nos préoccupations.
C’est peut–être cela la cyber-résilience ? Un état d’esprit alliant sens et simplicité dans l’art de l’action : préparation, priorisation, agilité et adaptabilité ? Un état qui in fine augmente la confiance, l’agilité et donc la capacité des entreprises.
2. Plan Cyber Résilience (PCR) : un nouveau plan dans la famille des PCA
La cyber sécurité ne peut pas être totale en permanence. Malgré les efforts permanents faits par la sécurité informatique, il faut définir une stratégie pour assurer le fonctionnement des activités des métiers critiques suite à une cyber attaque. Un des moyens pour s’y préparer progressivement est de développer un Plan Cyber Résilience. Il se décompose en une partie « informatique » et une partie « métiers » se limitant aux métiers déclarés critiques par la Direction Générale.
Comme tous les Plans de la Continuité d’Activité, un Plan Cyber Résilience est prévu pour faire face à un événement perturbateur qui peut être par exemple :
- indisponibilité massive des postes de travail et des serveurs suite à une compromission de l’Active Directory,
- perte d’intégrité des données,
- attaque simultanée du site de production et du site de secours
- compromission par une attaque de ressources communes entre le site de Production et le site de secours, par exemple le poste de pilotage unique de la Production
- propagation de virus sur le site de secours informatique,
- perte d’intégrité des données restaurées issues des sauvegardes de recours
- perte de l’accès aux applications liées à une technologie (Microsoft par exemple, ….)
- …
La survenance de ces événements perturbateurs nécessite l’activation d’une organisation de crise cyber chargée, outre de la communication, de coordonner la reprise d’activité de l’informatique et la continuité d’activité des métier critiques. En fonction de l’attaque cyber, l’organisation de crise peut activer un Plan Cyber Résilience.
Le développement d’un Plan Cyber Résilience nécessite :
- Des mesures préventives, avant le constat des effets de la cyber attaque :
- Evaluer le niveau de sécurité de l’IT de façon récurrente sachant qu’il est impossible d’être au top en permanence.
- Déterminer avec les métiers et faire valider par la Direction Générale les activités critiques à continuer impérativement dans un tel contexte; leur fonctionnement pouvant être dégradé.
- En déduire les moyens critiques pour faire fonctionner ses activités critiques
- Choisir et faire décider par la DG une stratégie cyber : mesures de prévention et mesures de protection dont le Plan Cyber Résilience.
Exemple : doublement de certaines applications hautement critiques développées différemment et exploitées sur un autre site isolé, contrôlées fonctionnellement à plusieurs niveaux par les métiers.
- Augmenter en permanence le niveau de sécurité (mise à jour régulière des logiciels, …) en renforçant ses processus internes et/ou en investissant dans de nouvelles solutions de parades
- Surveiller en permanence, qualifier et remonter les incidents.
- Contrôler l’intégrité fonctionnelle des sauvegardes de recours suite à une compromission des données. Elles peuvent embarquer des éléments de compromission : malwares, camps de base, des modifications opérées par les attaquants.
- Mettre en place des sauvegardes ultimes des activités critiques sur un site distant sécurisé ne pouvant pas être compromis. Ces sauvegardes peuvent être utilisées en lecture ou servir à la reprise d’activité sur un autre site de secours. Des logiciels du marché assurent ces fonctionnalités en permettant également de communiquer, quoi qu’il arrive.
- Entrainer par des exercices de validation les cellules de crise et les collaborateurs travaillant dans des activités les plus critiques à traiter des scénarios cyber :
- Travailler sans IT pendant la restauration des sauvegardes de recours
- Travailler en mode dégradé (faisabilité, durée)
- Se préparer à contrôler un arrêt rapide de l’IT, suite à une attaque cyber
- Après le constat des effets de la cyber attaque
- .Contenir l’attaque : décider rapidement en conscience, avec tous types d’experts (cloisonnement,…)
- Activer l’emploi de moyens critiques : poste de travail apporté contractuellement par un fournisseur, messagerie minimum de secours
- Exécuter des plans préparés et testés régulièrement pour la reconstruction de l’IT nécessaire aux applications critiques : sauvegarde de recours saine, clef USB de chargement des postes de travail, poste de travail dans le Cloud. Des logiciels tels que RVR Parad permettent de créer, maintenir et exécuter ces plans dans le cadre d’exercices et en cas de sinistre Cyber
Il ne faut pas oublier qu’implémenter ces mesures nécessite de mettre à niveau tout le processus de management de crise et de la continuité d’activité sans oublier de revoir les rôles du Responsable de la Sécurité du Système d’Information, du directeur des risques, du Responsable du Plan de Continuité d’Activité, Responsable de la communication interne et externe, du Responsable juridique, …. Et le rôle de la cellule de crise pendant une attaque cyber.
Il n’existe pas de Plan Cyber Résilience tout fait, universel, il doit être adapté au contexte, à l’organisation de l’entreprise pour assurer in fine sa survie.
Quelques références complémentaires pour alimenter vos recherches :
https://www.us-cert.gov/ccubedvp/assessments#Downloadable%20Resources
[1] https://www.riskinsight-wavestone.com/2017/10/cyber-resilience-plier-pas-rompre-22/
[2] https://www.economie.gouv.fr/files/files/directions_services/cge/Rapports/2017_02_CGE_SR_Rapport.pdf
Cet article a été réalisé par deux membres du Club de la Continuité d’Activité :
- Luc VRIGNAUD, RSSI et RPCA du groupe MACIF
- François TÊTE, consultant en continuité d’activité et gestion de crise DEVOTEAM